<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Anthropic &#8211; 老范讲故事｜AI、大模型与商业世界的故事</title>
	<atom:link href="https://lukefan.com/tag/anthropic/feed/" rel="self" type="application/rss+xml" />
	<link>https://lukefan.com</link>
	<description>这里是老范讲故事的主站，持续更新 AIGC、大模型、互联网平台、商业冲突与资本市场观察，帮你看清热点背后的底层逻辑。</description>
	<lastBuildDate>Thu, 02 Jul 2026 00:46:32 +0000</lastBuildDate>
	<language>zh-Hans</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://lukefan.com/wp-content/uploads/2026/03/cropped-jimeng-2026-02-28-5245-用图一的人物形象，替换图二中的人物，使用图二的风格。文字替换：老范讲故事，Yo-32x32.jpeg</url>
	<title>Anthropic &#8211; 老范讲故事｜AI、大模型与商业世界的故事</title>
	<link>https://lukefan.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Claude大封号背后，账号为何突然消失？</title>
		<link>https://lukefan.com/2026/07/02/anthropic-claude-account-bans-risk-detection/</link>
		
		<dc:creator><![CDATA[Luke Fan]]></dc:creator>
		<pubDate>Thu, 02 Jul 2026 00:46:30 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[Anthropic故事多]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic大规模封号]]></category>
		<category><![CDATA[Anthropic封号]]></category>
		<category><![CDATA[Claude Code封号]]></category>
		<category><![CDATA[Claude Code时区检测]]></category>
		<category><![CDATA[Claude Max账号封禁]]></category>
		<category><![CDATA[Claude账号申诉成功率]]></category>
		<category><![CDATA[Claude账号被封]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3884</guid>

					<description><![CDATA[Claude大封号让许多中文开发者重新审视账号安全、代理使用和AI工具隐私边界。本文梳理Claude账号被封原因、Claude Code风控信号、Anthropic申诉成功率和开发者备份方案，分析IP甄别、中转代理、时区检测与邮件追踪等可能机制，也讨论企业账号误封、重度用户成本压力，以及为什么不能把工作流完全押在单一AI服务上。对于仍在使用Claude、Claude Code或Claude Coworker的人，这是一份理解风险与准备后路的参考。]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe title="Claude大封号背后，账号为何突然消失？" width="900" height="506" src="https://www.youtube.com/embed/5F--cT8Pn3o?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_1.jpg" alt="一台打开 Claude 界面的笔记本电脑旁散落着封号邮件、地图定位针和账号钥匙，画面以博客评论封面式构图呈现 Anthropic 大规模封号风波，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">Anthropic 大封号之后，大家都还好吗？</h2>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。这几天在中文社交媒体上，包括 X 的中文圈里，大家都在讨论一件事情：自己的 Claude 账号是不是被封了。</p>



<p class="wp-block-paragraph">这几天，Anthropic 确实进行了史无前例、丧心病狂的大规模封号行动。我的账号还在。现在据说，只要你的 Claude 账号还在，你就已经超过了中国 99% 的程序员了。因为没有 Claude 账号和有 Claude 账号，这是完全两种不同的程序员。</p>



<p class="wp-block-paragraph">甚至有人在椅子背面贴了一张纸，说因为 Claude Code 账号被封，现在不接受任何程序相关的 bug 和修改请求，因为编程能力已经降回 0 了。什么时候可以继续接受请求？看看申诉情况，或者看能不能再去注册新账号吧。</p>



<p class="wp-block-paragraph">现在就是这样一个特别神奇、特别魔幻的时间点。这里跟大家讲几个特别神奇的故事。</p>



<h2 class="wp-block-heading">杭州账号被封的传闻</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_2.jpg" alt="杭州城市轮廓、云服务机房和一排被红色暂停标记覆盖的 Claude 账号卡片并列出现，表现地域传闻与封号焦虑的关系，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">有一位在杭州的朋友，他的 Claude Max 账号，也就是一个月 200 美金的账号，据说订阅了很多年，突然就被干掉了。后来他发现很多在杭州的小伙伴都被干掉了，于是怀疑是不是 Anthropic 专门对杭州 IP 进行了封禁。这种事情只能怀疑，没办法得到实证。</p>



<p class="wp-block-paragraph">有些人不信邪，说我得试试。有人从深圳跑到杭州出差，到了杭州以后打开 Claude Code，咔嚓，被封了。原因也很简单：DeepSeek 在杭州，阿里也在杭州，Anthropic 还刚刚指责阿里使用 25,000 个账号、2,880 万条问询去蒸馏它的大模型。那你在杭州还不封你封谁？</p>



<p class="wp-block-paragraph">当然，在这次封禁过程中，有很多不同类型的账号被封掉。有些人是多年的 Claude Max 账号，也有人说自己使用老 Gmail 账号也被封了，并没有一定的规则。这一次唯一的规则，就是封禁力度巨大，倒霉的人很多。</p>



<p class="wp-block-paragraph">问题来了，Anthropic 到底是怎么甄别出来你在杭州的呢？这个事我也搞不太明白。它目前最多只能甄别你可能在大陆。你说有哪些特征可以甄别到你在杭州？有一些。但是如果甄别你在深圳、在北京，它也没封你。</p>



<p class="wp-block-paragraph">因为在 AI 工具里，隐私界限是非常模糊、但又非常重要的一件事。像我今天这个稿件，就是使用最新发布的 Sonnet 5 做的，我也想看看它到底行不行。反正到目前为止，它还在老老实实干活，还在给我出这样的稿件。</p>



<p class="wp-block-paragraph">这说明什么呢？我告诉它，我在中国，我在帝都，我使用了 Claude Code，也使用了 Claude Coworker，并没有出现什么问题。所以，它怎么能够精确定位到杭州以后就直接封掉，这确实有一些让我不太理解。</p>



<span id="more-3884"></span>



<h2 class="wp-block-heading">这次封禁可能使用的几种手段</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_3.jpg" alt="三个并排的检测模块分别标注为 IP 链路、中转代理、设备信息，箭头汇入一个风险评分仪表盘，呈现封号机制的多指标判断，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这一次封禁主要可能有几种手段。</p>



<h3 class="wp-block-heading">第一种：IP 甄别</h3>



<p class="wp-block-paragraph">我们肯定挂梯子了，使用 Claude Code 不挂梯子肯定不让你用。那它怎么甄别呢？也很简单。</p>



<p class="wp-block-paragraph">大家要知道，梯子有一个很神奇的特性，就是它会进行路由。如果发现你在访问 Anthropic，它就给你路由，把你的 IP 地址改成一个海外 IP 地址。如果发现你要访问一个境内域名，或者它不认识的域名，它就默认你在境内，直接使用本地 IP，走本地运营商路径。</p>



<p class="wp-block-paragraph">所以，想要确认你在哪，最简单的方式就是让 Claude Code 访问一个不是特别常见的域名。因为所有这些梯子软件里都有这样的功能：不能访问淘宝或者微信小程序的时候也给你翻墙翻出去，那会影响使用。</p>



<p class="wp-block-paragraph">有一段时间，这些翻墙软件确实这么干过。结果你会发现，在国内使用淘宝的时候，打开的是淘宝国际站，就没办法愉快购物了。这很麻烦。另外，翻出去以后流量比较贵，是按照流量收钱的。所以我们更希望它分开：需要翻的时候再翻，不需要翻的时候就老老实实走国内。</p>



<p class="wp-block-paragraph">因此，你的 IP 地址、运营商、整个链路，很容易从本地知道。如果它发现你的链路走到了杭州电信，或者走到了阿里云某台杭州服务器上，它就判定你肯定有问题，直接处理掉，这种可能性比较大。</p>



<p class="wp-block-paragraph">但是，如果它判定你在深圳，可能就会认为是不是有一些故障，或者有其他问题，于是不处理。其实所有这种封禁程序都是打分的，它会有很多指标，最后打到多少分以上，咔，给你封掉；没打到多少分，可能就把你放过了。而杭州 IP 估计一下就加了很高的权重，直接给你处理掉。</p>



<h3 class="wp-block-heading">第二种：中转代理黑名单</h3>



<p class="wp-block-paragraph">很多人为了薅 Anthropic 的羊毛，会把一个大账号包给很多不同的人。对于每一个使用这种分拆账号的人来说，填 Anthropic base URL 这个属性时，一定不会填官方地址，而是填中转站地址。</p>



<p class="wp-block-paragraph">那么它就可以检查：你这个中转站到底是什么样的中转站，里面是不是有一些域名是黑名单域名。比如这个中转站名字叫阿里云什么什么，或者叫 DeepSeek 什么，或者叫哔哩哔哩点 CO，也就是 B 站的中转站。</p>



<p class="wp-block-paragraph">为什么会有哔哩哔哩点 CO 这样的网站出来呢？也很简单，人家想用。让每一个使用者自己研究怎么搭建、怎么挂梯子，很麻烦。怎么办呢？由公司集团的 IT 部门整体处理一次，在公司内部搭建一个中转站，订一堆账号挂在上面，然后自己用。这个一旦被发现，直接给你干掉。</p>



<h3 class="wp-block-heading">第三种：木马式信息采集</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_4.jpg" alt="一封登录确认邮件中嵌着微小像素图片，旁边浮出时区、IP、日期格式和客户端信息标签，表现隐蔽信息采集流程，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">所谓的木马植入是怎么玩呢？其实有两层。</p>



<p class="wp-block-paragraph">第一层是在 Claude Code 里，它问一个特别神奇的问题：你这个机器现在的时区是哪个时区，或者你现在是哪一天。但这个问题怎么就能让你露馅呢？很多挂梯子的人都把梯子挂在美国，因为很多最新模型是在美国先上线的。可是你的本机时区一定不是美国时区，而是北京的东八区。发现你的 IP 地址跟时区不一致，咔嚓，给你干掉。这也是很顺理成章的事情。</p>



<p class="wp-block-paragraph">除了问时区之外，另外就是去查刚才讲的 ANTHROPIC_BASE_URL 属性，把这两个属性打包，直接发到服务器上校对，校对完以后封你的账号。</p>



<p class="wp-block-paragraph">还有一种特别有意思的玩法：给你发封邮件。它觉得你可能有问题，或者你要登录，就给你发封邮件，请你确认一下。</p>



<p class="wp-block-paragraph">我今天还去登录了一次，因为我要在 VSCode 里使用 Claude Code 插件。它说不行，你要重新登录。虽然我的 Claude Mac 客户端在跑，Claude Code Terminal 的 CLI 客户端也在跑，但是 VSCode 说要重新登录。登录过程就给你发邮件。</p>



<p class="wp-block-paragraph">它是这样的：邮件里隐藏了一幅图片，这个图片很小，一像素乘一像素，你看不见。这个图片放在一个很特殊的服务器上，这个服务器平时大家不太用，域名相对也比较奇怪。所以梯子软件可能一看到这样的域名，就直接放过了，不认为这是必须翻墙的域名。然后你的邮件客户端就上去请求这张图片。</p>



<p class="wp-block-paragraph">请求的时候，就会告诉它：你好，我是谁，我这个客户端现在是什么时区，是什么邮件系统，我的 IP 地址是什么，我现在想要这幅图片。为什么要给人这么多信息？这是早期图床网站的逻辑。图床网站为了避免被人薅羊毛，往往需要提交足够完整的信息以后才把图片给你。</p>



<p class="wp-block-paragraph">这些信息一提交上去，它一看，你的时区跟账号情况不一致，或者你的 IP 地址跟账号不一样，或者你直接走到了本地运营商链路，因为它没有走梯子。它把这几个信息综合起来以后，判断是不是给你封号。</p>



<p class="wp-block-paragraph">现在大家总结的应该是这三种，但我相信一定还有其他手段。因为我以前问过谷歌的人：你们怎么判断关联账号？他说你别费这个劲了，我们手里有几百个标志位，会把所有标志都收集起来以后算一个分数，然后看你的风险是不是足够高。他没办法给你一个特别明确的检测方法，因为这是通过一个很复杂的算法算出来的。</p>



<p class="wp-block-paragraph">Anthropic 我相信也是这样。现在大家能总结出来的都是瞎子摸象。我们通过谁谁谁被封以后，大概有什么情况；甚至有些人把邮件里的所有信息都扒了一下，有些人把 Claude Code 的一些源代码整个扒了一下。把这几块弄完以后，来确定这几块可能是这一次起作用的地方。但我要告诉大家，起作用的地方很多很多，它最后一定是在评估风险指数。</p>



<h2 class="wp-block-heading">Anthropic 工程师承认了什么</h2>



<p class="wp-block-paragraph">这一次故事最有意思的地方在于，Anthropic 自己官方还承认了这件事。它自己并没有发官方通告，说最近要开始大扫除，或者要怎么样，这些都没说。</p>



<p class="wp-block-paragraph">但是有人说，你们 Claude Code 里埋了这种木马代码，来查我机器的日期格式。因为不同国家的日期格式不一样，咱们是年月日，人家是月日年、日月年。它有时候查你的日期格式，有的查你的时区，有的查其他信息出去，还要把这些信息发到 Anthropic 的服务器上，说你 Claude Code 里的代码被我抓住了。</p>



<p class="wp-block-paragraph">这件事，Anthropic 的一位工程师出来认了。今天上午 6 点 07 分，应该是美国时间 6 点 07 分，Claude Code 团队的工程师塔里克·希希帕尔，他的 X 账号是 TRQ212，发帖承认了。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">他说这个东西是他 3 月份就加进去的。当时加这个东西，是为了甄别中转站，甄别薅羊毛的人。现在已经有更好的甄别方式，所以计划在下一次 Claude Code 更新时，把这段代码删掉。</p>
</blockquote>



<p class="wp-block-paragraph">这个人大家不知道还有没有印象。前面龙虾之父，也就是做龙虾的创始人 Peter Steinberger，自己也被封过。当时也是这位塔里克出来回复，说是分类器判断错误，我给你恢复了吧。看来，在 X 上给 Claude Code 专门擦屁股，也是这位老兄的一项日常工作之一。</p>



<h2 class="wp-block-heading">申诉成功率有多低</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_5.jpg" alt="一个巨大的漏斗上方倒入 145 万个灰色账号小方块，中间标出 5.2 万封申诉邮件，底部只落下 1700 个恢复账号，突出申诉成功率很低，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">封号之后，是不是可以去申诉呢？这一次我们看到的是中文区哀鸿遍野。一定有封错的，也一定有在美国被封的、在全世界其他地方被封的。但别费这个劲。</p>



<p class="wp-block-paragraph">根据 Anthropic 自己在今年 1 月披露的数据，2025 年下半年，注意只有半年的时间，累计封了 145 万个账号，收到了申诉邮件 5.2 万封。封了这么多账号，最后写邮件给它的比例非常低，大部分人封了就拉倒了。成功恢复的是 1,700 件，申诉成功率是 3.3%。</p>



<p class="wp-block-paragraph">大家算算这 3.3%，谁是分子？一定是 1,700，也就是成功恢复的 1,700 个。谁是分母？绝对不是 145 万个被封账号，而是 52,000 封申诉邮件。也就是说，你给它寄申诉邮件，能够成功恢复的比例是 3.3%。</p>



<p class="wp-block-paragraph">至于再往后的数据，也就是 2026 年上半年的数据，Anthropic 自己并没有公布。这一次官方大封号，Anthropic 自己什么也没说，唯一出来说话的就是刚才讲的塔里克，承认前面确实做了一个实验，在 Claude Code 里加代码，去看你的时区、日期格式，甄别你是不是使用了代理、中转。</p>



<h2 class="wp-block-heading">被错封的公司案例</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_6.jpg" alt="两家公司办公桌上的员工账号头像同时变成暂停状态，一张续费发票仍在打印，表现企业集体错封与继续计费的荒诞场景，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">有哪些被错封的账号呢？跟大家举几个例子。</p>



<p class="wp-block-paragraph">第一个，美国有一家 110 人的农业科技公司，业务横跨数据分析、田间决策、供应链优化。周一早晨，110 个账号一起集体暂停，零预警，管理员事先都不知道。每个人收到的邮件都写着检测到你个人违规，团灭。</p>



<p class="wp-block-paragraph">创始人在 Reddit 上发帖说，Anthropic 封了我们整个公司的账号，110 个人，零预警，拿到了 2,400 个赞，334 条评论。更荒谬的是，账号登不上去了，API 却还在计费，封号第二天准时收到了续费发票。申诉 36 个小时，没有人理他。到目前为止，这帮人也没有恢复账号。</p>



<p class="wp-block-paragraph">拉美有一家金融科技公司叫帕托莫利纳，发帖说公司 60 多个账号一夜之间集体被封，同样是零预警，同样是冰冷模板邮件。最后恢复了，但是官方回复只有一句话：经过调查，已经恢复，抱歉带来不便。完了。违反了什么，查出了什么，只字未提。</p>



<p class="wp-block-paragraph">这位莫利纳后来干脆紧急部署了 Gemini 作为备份，说万一你再给我封了，我用 Gemini。</p>



<p class="wp-block-paragraph">所以，从杭州到硅谷，从个人开发者到 110 人的公司，这套系统一视同仁，不讲道理。而且出来救火的，翻来覆去就是这么一个工程师在 X 上单枪匹马地发帖，做一些个人回复。公司层面基本不做正面表态。</p>



<h2 class="wp-block-heading">真正重要的问题是隐私</h2>



<p class="wp-block-paragraph">在 AI 领域里，真正重要的其实不是封不封号，而是<strong>隐私</strong>。我们有非常多的隐私要参与 AI 一起工作。比如我今天做这样一个题目，我在中国，我去做 Anthropic 封号的口播稿。对于 Anthropic 来说，我等于直接告诉它了：我在国内，我使用了你的产品。它并不能因为这件事情就给我封号，因为这明显侵犯我的隐私。</p>



<p class="wp-block-paragraph">有没有跟用户之间的隐私确认协议？你到底要拿哪些信息，不拿哪些信息？对于目前这些 AI 模型或者 AI 服务公司来说，都是相对比较模糊的。</p>



<h2 class="wp-block-heading">我是怎么让账号活下来的</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_7.jpg" alt="一个用户在桌面上摆出 Gmail 邮箱、东八区时钟、新加坡节点和未拆分账号四个防护卡片，构成账号自保清单，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">至少我目前账号还活着。我可以跟大家讲一下我是怎么活下来的。至于以后是不是还行，我也不能保证。</p>



<ul class="wp-block-list">
<li><strong>第一，用 Gmail。</strong>不要用公司邮箱或者国内邮箱去收 Anthropic 的邮件。原因很简单，Gmail 也好，苹果邮箱也好，收到带有图片的邮件时，会自己把图片拉下来，由 Gmail 的服务器去拉。拉完以后，会放在谷歌的中间缓存服务器上。所以不会出现从本机拉图片时，直接把本机信息暴露出去的情况。</li>



<li><strong>第二，不要使用美国的梯子。</strong>我现在梯子都是挂在新加坡或者台湾，因为这些地方跟北京是同一个时区，都是东八区。这样你的时区和 IP 地址是符合的。</li>



<li><strong>第三，不要使用代理或者分拆账号。</strong>这个很容易被抓。</li>
</ul>



<p class="wp-block-paragraph">那账号怎么开？其实比较简单，开 Anthropic 账号比开 OpenAI 账号还简单。因为 OpenAI 账号付款时要进行手机号认证，而 Anthropic 账号不需要。你随便拿一个邮箱就注册了。注册完以后，到苹果美国官网上买礼品卡，申请一个苹果美国账号，把礼品卡充值进去，然后就可以在 iPhone 上订阅 20 美金、100 美金或者 200 美金的账号。这个过程相对平滑顺畅，中间不经过任何第三方，都是大公司之间把事情做完。</p>



<p class="wp-block-paragraph">但这个号到底能活几天，我也不知道。而且防被封号，我觉得唯一靠谱的只有一件事：别把额度用太满。对于 Anthropic 来说，你把额度用得太满了，它一定会怀疑你。</p>



<p class="wp-block-paragraph">刚才我也讲了，所有这种跟封号有关的事情，绝不是某一个或者某几个关键指标进行简单判断的，一定是非常多的指标，可能几十个、几百个指标放在一起以后进行加权运算。你的威胁指数或者威胁评分达到多少以上，给你封掉。</p>



<h2 class="wp-block-heading">为什么 Anthropic 这么狠</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_8.jpg" alt="一架天平左侧是品牌价值观盾牌和合规文件，右侧是用户账号与错封风险，旁边法务锤子压过销售和技术图标，表现公司封号决策逻辑，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">下一个问题，为什么别人不这么狠，就 Anthropic 这么横呢？嘁哩喀喳就给你封这么多号。</p>



<p class="wp-block-paragraph">大家要注意，封号这件事情本身属于 Anthropic 品牌价值观的一部分。就像前面苹果说，我顶住了 FBI 的要求，我不给它解码手机，这属于它品牌价值的一部分。Anthropic 也是这样的：踩中意识形态了，我就去封他们。他们上来蒸馏我的模型，偷我的技术，这个事就是不行。这是它价值的一部分。</p>



<p class="wp-block-paragraph">封号一定会有错封和漏封两种情况。如果要求尽可能少漏封，那就一定会更多地错封，把很多不应该封的人封掉。错封以后，就可能会有诉讼，有人会告你。</p>



<p class="wp-block-paragraph">在公司里干过的朋友，特别是在一些相对比较大的公司里干过的朋友，你们告诉我，在你的公司里，法务部的声音大，还是销售部、市场部或者技术部的声音更大？绝对是法务部。因为它是要打官司的，老板也害怕打官司。</p>



<p class="wp-block-paragraph">所以一旦法务说你这个事情可能引起诉讼，他们就会相对谨慎一些。OpenAI、谷歌、微软这些公司都会相对谨慎一些，它们不希望因为这样的事情带来诉讼。而 Anthropic 就这么干了，你愿意告我告呗。</p>



<p class="wp-block-paragraph">现在 Anthropic 身上真的是债多了不愁，虱子多了不咬，有一堆诉讼等着它。一方面是它盗版人家的书、爬取 Reddit 上的数据，都在诉讼。另一方面，国防部把它加到了不可信任名单里，它还在起诉美国联邦政府。</p>



<p class="wp-block-paragraph">还有一点非常重要：为什么它不怕告？因为还没上市。上市公司和非上市公司是两个完全不一样的生命形态。一旦上市以后，你被起诉了，有很多诉讼背在身上，SEC 会给你写信，会发警告，你的股价会发生剧烈波动，甚至可能带来天价罚单。所以上市公司通常会更加守规矩，更加谨慎。Anthropic 现在趁着没上市好好折腾，等以后上市了，也未必敢整成这样。</p>



<p class="wp-block-paragraph">所以这一次 Anthropic 属于宁肯错杀三千，绝不放过一个的玩法。</p>



<h2 class="wp-block-heading">风波还没有结束</h2>



<p class="wp-block-paragraph">这一次封号风波，到目前为止绝对不算结束。我估计未来几天还会有新的消息出来，可能会有一些集体诉讼，特别是在美国。</p>



<p class="wp-block-paragraph">大家会不会觉得前面那家 110 人的美国农业公司就是冤枉的？其实不一定冤枉。这种公司很有可能使用了中国外包，把他们的账号直接外包到中国来使用，这个可能性很大。你以为他们真的有那么多程序员、那么多账号需要坐在美国办公室里使用吗？真未必。包括前面讲的那个南美申诉成功的，也未必就真的冤枉。</p>



<p class="wp-block-paragraph">所以 Anthropic 如果以后上市了，封号可能会收敛一些。但是现在，也许就是它最后的疯狂。</p>



<h2 class="wp-block-heading">封号背后的另一个猜测</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_9.jpg" alt="健身房式订阅模型被改画成 AI 算力机房，轻度用户空着跑步机，重度用户排队占满服务器资源，表现套餐经济与重度使用者冲突，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这里我还要讲一个自己以小人之心度君子之腹的猜测：Anthropic 的这种大封号行为，可能要防备的并不是真正的蒸馏。因为蒸馏其实是防不住的。你这头封完号以后，中国人就不用了吗？照样该用还是得用，只是现在使用 Anthropic 服务的门槛变高了，成本变大了。很多人可能觉得自己没办法搞定，或者觉得折腾这玩意太累，就走掉了。</p>



<p class="wp-block-paragraph">但是对于真正想要蒸馏 Anthropic 的人来说，他们会干嘛？他们会使用专门的工程师，会有专门的团队，也不在意你到底变得多麻烦。他们该蒸馏还是会蒸馏。</p>



<p class="wp-block-paragraph">那 Anthropic 折腾半天干嘛呢？Anthropic 其实是在把使用最重的这帮用户干掉。</p>



<p class="wp-block-paragraph">这种卖套餐的公司，像一个月 20 美金，或者一个月 200 美金的套餐，都是健身房心态：我把健身卡卖给你以后，你这辈子都别来，等下次续卡的时候再来就够了，中间你就不用来了。</p>



<p class="wp-block-paragraph">欧美用户或者日韩用户可能确实是这样使用 Anthropic 的，或者说重度用户和普通用户之间的比例相对健康，这是 Anthropic 比较喜欢的。而中国用户肯定是每个买了账号的人都往死里用。像我，大概每周 Anthropic 流量能用到 70%-80%，其实还好了，一般用不到 100%。那些买了 200 美金账号的人，更是羊毛不薅秃了不罢休。他们会把自己的账号拆成很多份，再分租给其他人使用，这些一定是封号重灾区。</p>



<p class="wp-block-paragraph">你就这么想吧，一个健身房卖了 100 张卡出去，结果这 100 个人每天都像上班一样打卡就来，晚上还加班加练，那这健身房是会倒闭的。所以 Anthropic 这一次大封号，可能也是想节省一点算力，让这些真正的卷王离它的服务器稍微远一点。</p>



<h2 class="wp-block-heading">最后：账号保住了吗？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/blog_10.jpg" alt="一个开发者站在岔路口，一边是 Claude 账号续费日历和文档处理窗口，另一边是 Codex 备用工具箱，表现继续使用与保留后路的结尾选择，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">最后结尾一下，大家都还好吗？这是今天的题目。你们号都保住了吗？还是被封掉了？</p>



<p class="wp-block-paragraph">不好的大有人在。那 145 万个被封号的账号里，大家肯定都很不好。但是对于 Anthropic 来说，这大概率都能够进入它自己的账本里。在没上市之前，在这么多诉讼不会影响市值、不会影响 SEC 判断的时候，最后疯狂一把，通过这一次大封号，把用户安全、把意识形态焊死在它的品牌价值观里。</p>



<p class="wp-block-paragraph">对于中国的 Anthropic Claude 用户来说，如果您有一定技术能力，该用还是用吧。麻烦一点，它还是挺好用的。现在从编程角度来说，GLM 也好，Codex 也好，已经快要追上 Claude Code 了。但是从办公和文件处理角度来说，Claude Coworker 还是唯一的神。</p>



<p class="wp-block-paragraph">当然，做再多封禁，做再多防护，对于那些中国 AI 研究公司，对于中国的大模型公司来说，都是没有任何意义的。人家就是干这个的，你设置再高的墙，它都会钻过去。你要想把它们拦住，整个系统就不要为任何人服务了。</p>



<p class="wp-block-paragraph">最后，我也拿不出账号永远不被封的技术方案。就连我自己这个账号到底能撑几天，我也不知道。本来上个月 28 号就是我这个账号到期的日子，后来发现这玩意处理文档的能力实在太强了，我也想着 Anthropic 未来一定会给我们提供很多故事。我万一把账号退了，以后有相关故事没法给大家讲，所以最后还是做出了艰难的决定，又续了一个月，续到 7 月 28 号。这不是又赶上新故事了吗？那咱们就继续续着这个账号，继续跟大家讲 Anthropic 的故事。</p>



<p class="wp-block-paragraph">但我同时也有 Codex 账号。相应的稿件虽然用 Codex 处理起来要别扭一些、费劲一些，但不是不能干活，也能够将就干。所以为了不被直接卡死，还是要给自己留一条后路。</p>



<p class="wp-block-paragraph">好，今天这个故事就讲到这里。感谢大家收听，请帮忙点赞，点小铃铛，参加 Discord 讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-account-bans-risk-detection/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>美国AI监管盯上GPT-5.6，真正漏洞在哪？</title>
		<link>https://lukefan.com/2026/06/29/ai-regulation-misses-replicable-agent-systems/</link>
		
		<dc:creator><![CDATA[Luke Fan]]></dc:creator>
		<pubDate>Mon, 29 Jun 2026 12:52:01 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[AI安全防御]]></category>
		<category><![CDATA[AI调度系统安全风险]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Claude Fable Mythos]]></category>
		<category><![CDATA[Fable Mythos禁用]]></category>
		<category><![CDATA[GPT-5.6监管]]></category>
		<category><![CDATA[用AI防AI网络安全]]></category>
		<category><![CDATA[美国AI监管]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3877</guid>

					<description><![CDATA[本文解析美国AI监管为何可能盯错方向：GPT-5.6测试名单审核、Fable 5被禁与Mythos安全测试背后，真正风险不只是模型能力，而是AI调度系统风险。文章从6周监管时间线切入，讨论开源模型、泄露提示词、专项安全数据与社会工程学如何放大攻击链，并提出用AI防AI的思路：与其靠国籍限制和模型封锁，不如升级防御体系，把AI安全变成下一轮产业机会。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe title="美国AI监管盯上GPT-5.6，真正漏洞在哪？" width="900" height="506" src="https://www.youtube.com/embed/JsW7VqcvMdA?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_1.jpg" alt="一张写着“AI监管方向错位”的大标题卡片，左侧是被锁住的模型立方体，右侧是地下蔓延的调度网络和安全漏洞节点，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。</p>



<p class="wp-block-paragraph"><strong>美国监管方向错误</strong>，盯死了 Mythos、Fable 5 和 GPT-5.6，却忽视了真正的安全崩塌。</p>



<p class="wp-block-paragraph">今天早上，老范怎么被炸醒的呢？这几天整个圈子都在眼巴巴地等着 GPT-5.6，尤其是 Fable 5 和 Mythos 5 被禁了以后，那咱就等着玩 GPT-5.6 呗，这是唯一的盼头了。而且它应该也不远了，原来说是这礼拜四出，结果没有出。现在据说是 200 美金的 Pro 用户，有一部分被抽签抽到了，进行灰度测试。</p>



<p class="wp-block-paragraph">结果今天早上起来一看 X 上头，这个消息就直接把人炸蒙了：政府要监管 GPT-5.6 的测试名单，谁能进、谁不能进，谁能测、谁不能测，都要上报，要审批了。</p>



<p class="wp-block-paragraph">那咱们今天就从这来讲一讲。你可能会问，之前被关的是 Anthropic 家的 Fable 和 Mythos，这把火怎么就烧到 OpenAI 脑袋上了呢？这里头的关键细节是，Fable 被禁了以后，Anthropic 自己跑出来就喊说：</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">GPT 也能干，你干嘛光禁我的呀？你得把它也封了呀。</p>
</blockquote>



<p class="wp-block-paragraph">这 GPT 就被拉下水了。从那一刻开始，这道门就从一家开始，向整个行业蔓延了。</p>



<p class="wp-block-paragraph">所以今天老范要讲的一件事情就是：美国不是说不该管这个 AI，而是枪口的方向错了。它死死盯着的是模型，却没有看到脚下坍塌的是整套传统安全体系。</p>



<p class="wp-block-paragraph">这条线分五层来讲：</p>



<ol class="wp-block-list">
<li>这一个多月到底发生了啥。</li>



<li>为什么被关的模型不是要害，真正要害的是调度系统，特别在这里要讲一下 360。很多人说，360 周鸿祎的事你也来讲，这配吗？还是要跟大家讲一讲的，这里头还是有价值的。</li>



<li>一个少有人点破的真相：今天的安全，其实绝大部分不是靠技术，而是靠制度。</li>



<li>即使是最强的 NSA，也就是美国的国家安全局，几个小时就被 Mythos 打穿了，AI 调度凭什么能够这么厉害。</li>



<li>枪是打偏了，正确的方向到底在哪。老范的答案可能跟大家想的不太一样，甚至老范要讲的是，这可能是整个 AI 翻红、AI 上升的一个绝佳机会。</li>
</ol>



<span id="more-3877"></span>



<h2 class="wp-block-heading">六个礼拜里，监管如何走进死胡同</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_2.jpg" alt="六周时间轴上依次摆放国会警告、白宫草案、模型发布、泄露越狱、全球下线和名单审核六个节点，末端箭头拐进死胡同，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">首先咱们来数一数日子，满打满算 6 个礼拜，看看监管是怎么把自己拐到死胡同里去的。</p>



<ul class="wp-block-list">
<li><strong>5 月 14 日</strong>，美国国会的众议员先抬手了。这次不是法案，而是警告，说前沿的 AI 我们得管一管。现在这个全村最靓的仔，每个人都惦记伸手去管一管。</li>



<li><strong>5 月下旬</strong>，白宫草案本来是很硬的，说我们要去设立一个草案，谁的模型想上线之前，必须要经过审批。但是被硅谷一通游说，特别是马斯克和扎克伯格上去游说去了，稍微软化了一点。同期 ENFORCE Act，增强海外关键出口国家框架法案，在委员会内过关，把一把很硬的刀先摆在桌上了。</li>



<li><strong>6 月 2 号</strong>，特朗普签署了相对比较软的联邦政府行政令，要求的是自愿送到国家来审核，不作为你上线之前的硬性要求。你不来审核，也可以上线。</li>



<li><strong>6 月 8 号</strong>，国防部更新了 1260H 清单，把阿里、百度都放到国家安全叙事里去了。</li>



<li><strong>6 月 9 号</strong>，Anthropic 发布的 Fable 5 和 Mythos 5，公众可以用到的最强模型就这么登场了。</li>



<li><strong>6 月 10 号</strong>，泄露越狱这个事就来了，把 Fable 5 的提示词直接扒出来了，把 Fable 5 直接给攻破了。</li>



<li><strong>6 月 12 号、13 号</strong>，商务部以国家安全为由，按照国籍断供，全球下线。72 小时神话就到此结束了，我们就再也用不到 Fable 5 了。我刚才还去看了一下我的 Claude，上头 Fable 5 还是不允许使用的。</li>



<li><strong>6 月中旬起</strong>，政府前脚关模型，外部的方法后脚就开始反打了。OpenRouter 的 Fusion、日本的河豚，把一堆旧模型编排一下，就已经接近 Fable 的能力了。</li>
</ul>



<p class="wp-block-paragraph">同时中国这边动作也不断。字节跳动放出了按周实时更新的新模型，叫豆包 Doubao-Seed-Evolving，这个模型是每个礼拜都更新，就没有版本号了，把调度往模型里边直接塞。剩下就是老牌的安全公司 360，也放出了对标 Fable 能力的安全模型，等于美国前脚关门，中国后脚就开始补位了。</p>



<ul class="wp-block-list">
<li><strong>6 月 22 日</strong>，Anthropic 的谈判换人了，理念很强硬的 Dario Amodei 就被请下谈判桌。他还是 CEO，但是现在就换了他的一些合伙人上来，去跟华盛顿谈去了。据说是 Fable 5 快要给大家使用了。</li>



<li><strong>6 月 25 日</strong>，Anthropic 指责阿里的信就被公开了，中国蒸馏叙事正式定调。</li>



<li><strong>6 月 26 号</strong>，Fable 灰度测试的风声又起来了，说又有一部分人可以用到 Fable 了。我现在也在 X 平台上看到很多人在晒他们使用 Fable 的照片了。但是 GPT-5.6 那头，却装上了名单审核。</li>
</ul>



<p class="wp-block-paragraph">大概过去 6 个礼拜，就是这样一路走下来的。本来特朗普还是比较宽松的，结果拉扯来拉扯去，就把一个相对比较宽松的政府行政令，给搞成了现在这样的：这个不许上，那个需要监管，变成这样了。</p>



<p class="wp-block-paragraph">而这恰恰是 Anthropic 自己一连串动作，加上几个关键事件，把这架天平最后压向了盯模型、卡名单、按国籍这样的一个错误方向。</p>



<h2 class="wp-block-heading">被关的模型不是要害，调度系统才是关键</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_3.jpg" alt="一个被锁在保险柜里的大模型方块旁边，真正发光的是外部工具、回滚、规划、验收组成的调度控制台，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">下边咱们来讲一讲，为什么这个方向是错的。被关的模型本身并没有那么重要，重要的是调度系统，360 就是一个活的样本。</p>



<p class="wp-block-paragraph">美国把 Fable 5 和 Mythos 5 关了，现在又在卡 GPT-5.6 的测试名单，逻辑很简单：模型太强了，太危险了，咱把这强的锁起来，你们其他人不许用。就跟向中国封锁芯片这个逻辑是一样的。可是他锁错了。</p>



<p class="wp-block-paragraph">Fable 5 之所以那么强，从来不是说只有底座模型强。它底座模型确实强，但是它实际上是一个很强的底座模型，加上 Anthropic 内化的一整套调度系统。</p>



<p class="wp-block-paragraph">调度系统是啥？就是决定这个 AI 什么时候调用什么工具，走到哪一步，谁来干活，谁来验收，谁来进行规划，干活错了以后怎么回滚，滚到哪里去，这个就是调度系统。</p>



<p class="wp-block-paragraph">证据也摆在这了。6 月份泄露的 Fable 12 万字的系统提示词，有一多半都是在讲怎么用工具、何时调用哪把扳手，真正讲性格的大概连 20% 都不到。让模型靠谱的不是它脑子有多神，而是外面整个的调度系统。</p>



<p class="wp-block-paragraph">而调度最要命的一点是什么？它能够被专项调教。你拿不到 Fable 这样的全能模型，没关系，拿一个还不错的开源模型，盯着一个又窄又危险的领域往死里调，是能够出结果的。</p>



<h3 class="wp-block-heading">360 是一个现实样本</h3>



<p class="wp-block-paragraph">360 就是这件事情最现实，也是最吓人的一个样本。360 是谁？中国老牌的网络安全公司，或者说中国老牌流氓吧，这么讲都没毛病。它自己其实也做了好多年的 AI，只是一直没做出多大响动来。但是你别小看它，它在安全领域里头深耕了几十年，手里头握着大量的安全数据、海量的真实攻防案例，还有几十年沉淀下来的攻防手段与经验。我相信即使大家觉得 360 是流氓，也会承认这一点。</p>



<p class="wp-block-paragraph">现在它要干的是什么呢？特别顺理成章：找一个当下最好的开源模型，比如说智谱 GLM-5.2，把自己几十年的安全数据掏出来，做专项的后训练和强化学习，你就有一个专门的安全大模型了。再根据过往的经验设计一套专门的调度系统，而这套调度系统直接照着 Fable 那份泄露的 12 万字的提示词致敬一下，就能搭个八九不离十。</p>



<p class="wp-block-paragraph">这套组合拳打下来，它完全可以在网络安全这一个领域里头做出一个很强的东西来。说我可以达到甚至超过 Fable 5 的水平，都没有问题。</p>



<p class="wp-block-paragraph">老范打一个比方，大家就能够理解了。比如说 Anthropic 的 Fable 5，它算是什么呢？真学霸，能考上哈耶普斯麻那种学霸，哈佛、耶鲁、普林斯顿、斯坦福和 MIT。这种人进一些大机构如鱼得水，放在哪个岗位上都很快上手，发挥到最强。Fable 就属于这一类的模型，旗舰模型，真学霸。</p>



<p class="wp-block-paragraph">可是我们现在没有真学霸，拿不到 Fable 了。那好办，我们还有小镇做题家。小镇做题家可能也能考上 985、211，底子其实也没有那么差。扔进到这种万金油的岗位里头，它未必能够比得过真学霸，但是你给它一套很有针对的特定岗位培训，它在这一个岗位上照样可以干得很漂亮。它差的是什么？是换岗位需要重新培训。它不像真学霸，走到哪都强。但是你让它专攻一块，它也是能够出一些很神奇的妖怪的。</p>



<p class="wp-block-paragraph">360 干的就是把小镇做题家，也就是开源模型，往网络攻防这个岗位上往死里头专项调教。在这一点上，它的杀伤力完全可以不输，甚至超过那个被美国政府锁在保险柜里的全能学霸。</p>



<p class="wp-block-paragraph">所以你看明白了没有？最危险的门槛根本就不在于拿不拿得到顶级模型，而在于有没有那套特别成熟的调度系统和相应的数据。而 360 这种安全公司，这套东西本来就是人家看家本领，现成摆着呢。你关了 Fable，那我来呗。</p>



<h2 class="wp-block-heading">今天的安全大半靠制度，不是靠技术</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_4.jpg" alt="一座企业大楼外层贴满审批表、密码规则、合规培训和权限流程标签，底部技术防线很薄，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">下一步，咱们来讲一讲真相。真相一：今天的安全大半靠制度撑起来，不是靠技术。</p>



<p class="wp-block-paragraph">很多人都觉得，你这个攻防技术好一点，这个差一点，大家很多人都觉得谁的系统更安全，是因为谁的技术更好。要跟大家说，不是这样的，这个真的跟很多人理解的不一样。</p>



<p class="wp-block-paragraph">你以为现在的大公司、大机构的安全是靠技术防住的吗？不是的。它很大一部分是靠规章制度，靠人事、靠流程、靠纪律管出来的。这个老范还是有点底气的，因为我原来这公司，猎豹移动，也是个安全公司。真正的安全事故里头，大概 60% 到 70%，根子压根就不在技术上，而是人，是操作人员失误，设了个弱口令，或者操作人员不守规矩。你这里本来不应该打游戏的，你把内网的机器连到外网打了个游戏，绝大部分的安全事故都是这么来的。</p>



<p class="wp-block-paragraph">正因为如此，才得用一大堆的规则、一大堆的管理手段去把人框住。这不是谁的意愿，这是没办法。</p>



<p class="wp-block-paragraph">你回想一下，你公司里头的信息安全平时啥样？大概率是定期改密码、签保密协议、做合规培训、申请权限走审批流程、年底来一次背景核查。这些几乎就是管理动作，不是技术防御。它防的是不小心，防的是守规矩的人偶尔犯的错。可对于一个铁了心、手里还拿着 AI 工具的对手来说，这个玩意的作用其实是非常非常有限的。</p>



<h3 class="wp-block-heading">谷歌 GWS 的例子</h3>



<p class="wp-block-paragraph">你可能觉得小公司技术不行。咱给大家举一个技术天花板的例子，谷歌的例子。这个是我自己用得特别开心的一个工具，叫 GWS，Google Workspace CLI。做这个项目的工程师叫 Justin Poehnelt，在谷歌干了快 7 年，自己做的工具 GWS，用户非常喜欢。我自己的各台电脑上都装了，甚至我还去给其他朋友也装这个 GWS。</p>



<p class="wp-block-paragraph">它干嘛使的呢？就是让我们的 AI 智能体也好，让我们的 Codex 或者其他的 Harness agent 工具，可以连接到 Google Workspace 上的各种产品去，比如说发邮件、写日历、处理联系人，在 Google Drive 上面去做 document 或者 slides，都可以，非常非常方便。这个东西一上去以后，很快几千个星就上来了，在 Hacker News 上就冲到第一了。</p>



<p class="wp-block-paragraph">结果这哥们没两天被谷歌给开除了。原因很简单，因为他这个东西没有走法务和安全审批，还用了谷歌的商标。你如果是自己上去的，那没事，没人理你。你用了谷歌商标了，但是你没有走审批，没有走安全，那就不行。这个事就是违反了内部的规章制度。</p>



<p class="wp-block-paragraph">在这兄弟被开除的前两天，谷歌刚在 Cloud Next 大会上宣布，官方自己也要做一套 Workspace CLI。就是我要干，你这不行，我给你干掉。</p>



<p class="wp-block-paragraph">老范请大家细品一下，连谷歌这种技术强到天上去的公司，它管安全、管控还是要靠审批、商标政策、人事处分，而不是什么神的技术。今天全世界绝大多数机构的安全底盘可能还没有谷歌强呢，所以大家只能靠管理型的东西来搞定。</p>



<p class="wp-block-paragraph">而现在更现实的是什么呢？就是想要这套老的安全体系整体做一次升级，太难了，太贵了。但是贵有贵的好处，待会咱们讲，这有机会。真的把全公司的代码、系统、流程都换成能够扛 AI 攻击的新架构，这个肯定是要花钱的。但是花钱不是坏事，花钱是好事。</p>



<p class="wp-block-paragraph">所以老范说了，今天最该先动手的第一件事，特别朴素，就四个字：<strong>把比例调对</strong>。</p>



<p class="wp-block-paragraph">现在这个比例是失衡的，靠制度、靠人管的东西太重，靠技术真正能防的东西太轻。规章制度是用来管人的，可接下来真正动手的越来越不是人了，是一套会自己进化的方法。拿管人的工具去管方法，就像拿交规去管病毒一样。不是它不重要，是压根不在一个频道上。</p>



<h2 class="wp-block-heading">NSA 被 Mythos 打穿，说明了什么</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_5.jpg" alt="NSA 字样的高墙系统被一条由零散漏洞节点串成的红色路径穿透，旁边有 AI 调度器在快速连接工具和权限，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">那这套管理型的安全碰上真正的高手会怎么样？咱们来讲第二个故事。</p>



<p class="wp-block-paragraph">你说谷歌强吧，有比它更强的没有？举个最极端的例子，技术上最强的肯定是美国国家安全局，全世界网络攻防的天花板。可就是这样的一个天花板，在测试里头几个小时就被 Mythos 给打穿了。</p>



<p class="wp-block-paragraph">先把事说清楚，它这个打穿的过程是在一个测试上，并不是说 Mythos 自己上去干的。在安全测试的过程中，Mythos 是拿到了各种安全工具。但是原来 NSA 的人想着，你怎么着得干个几个礼拜吧，或者干个几天，结果一晚上就穿了。</p>



<p class="wp-block-paragraph">你要知道，任何一个大的系统里头，漏洞本来就是一直存在的。不是说你是 NSA，你就能把漏洞都补干净，没有人做得到这件事情。那平时为什么还安全呢？两件事：</p>



<ol class="wp-block-list">
<li>这些漏洞是很零散、很孤立的，没有人能把它串起来。</li>



<li>外面还罩着一层层规章制度和规则，谁能进，谁有权限，哪步要审批。</li>
</ol>



<p class="wp-block-paragraph">靠漏洞没被串起来，再加上制度罩着，系统勉强还是可以维持安全的。</p>



<p class="wp-block-paragraph">但是 Mythos 干啥呢？它就是把这套本来零散、孤立的大量漏洞，一个一个串起来，组合成一条条原来谁都没有想到的全新攻击路径，然后顺着它绕过制度，直接钻进去。</p>



<p class="wp-block-paragraph">这就是一句老话：找一个漏洞不难，难的是把一堆漏洞串成一条完整的攻击链。人脑是串不动的，人脑其实有点像狗熊掰苞米，掰一个掉一个。我们不可能同时把这么多代码都记在里头，但是 Mythos 背后这套调度系统，是完完全全可以把这些东西串起来的。</p>



<h3 class="wp-block-heading">社会工程学才更无解</h3>



<p class="wp-block-paragraph">而且这里头还有一个问题，这都是技术漏洞，这只是事情的一半。真正让老范觉得这事完全无解的是什么呢？是社会工程学，我们管它叫社工。</p>



<p class="wp-block-paragraph">什么是社会工程学？说人话就是利用人的社会性下手，骗、套、伪装、钓鱼，把人当成系统里头最好攻破的那一环。今天一大半的安全事故，本来根子就在这，不在代码里，就在人身上。</p>



<p class="wp-block-paragraph">这里头还藏着一个特别致命的结构型漏洞。一个大型系统，比如像 NSA 这种系统，它是一次做完的吗？或者一次整个重新翻过来的吗？不是的。它是一次一次升级升上去的，一次一次打补丁打上去的。你永远没有办法把所有的漏洞都找齐。那怎么办呢？只能靠测试、验收、认证这套东西来兜底。我这次打了补丁了，做一堆验证，做一堆测试，它这么来干这个事。</p>



<p class="wp-block-paragraph">可是问题在哪呢？就是它的测试过程测的是技术问题，它不会去测社会工程学的问题。一个员工会不会被一句话就忽悠到去点开一个链接，会不会被伪装的领导骗去转账，这种事情是没法去测试的。你测这玩意就没完没了了，只能靠管理制度去防。</p>



<p class="wp-block-paragraph">所以社会工程学这一块，本来就是技术帮不上忙，只能交给管理的地方。但是现在比较瘆人的是什么呢？攻击系统的是 AI，是 Anthropic 这套模型。这套模型最擅长的是什么？不是找漏洞，不是一个一个把漏洞串起来，它最擅长的一件事是一本正经地胡说八道。在这样的一个底座上，它还能找到漏洞，在串的过程中完完全全可以把社会工程学的东西都用起来。那你想吧，当它串了漏洞，再编瞎话骗人，把这两样东西拧在一起的时候，技术这条线怎么可能能够挡得住它？</p>



<h2 class="wp-block-heading">AI 加调度，是绕过免疫系统的超级病菌</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_6.jpg" alt="一株会变形的超级病菌绕过盾牌形免疫系统，触手分别连接漏洞扫描、钓鱼话术和自动试错三个模块，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">那它凭什么能够同时干两件事？Mythos 这种东西，它是 AI 加上调度，这个东西才是真正强的东西。</p>



<p class="wp-block-paragraph">为什么 AI 加调度这么狠？它是绕过了免疫系统的超级病菌。老范给大家讲一个最直观的比方吧。人体本来是一个免疫系统，一种病毒来了，你识别它，记住它，产生抗体，下一次你就能扛住。传统的软件安全就是靠这套免疫加疫苗的逻辑，发现一个漏洞，分析，打补丁，全网升级。它对付的是已知的、固定的病毒。</p>



<p class="wp-block-paragraph">可现在出现的是另外一种东西，有人定向培育了一个超级病毒。它最可怕的不是毒性，而是它会进化，而且是冲着你的防御系统来进化的。这就很吓人了。</p>



<p class="wp-block-paragraph">我记得以前玩过一个游戏叫《瘟疫公司》。你扮演一个病菌，人类每出一招，比如关闭边境、研究疫苗，你就顺着应对的方向去进化。long is your？一开始要有传播力，但是不要有那么强的伤害力，让它可以慢慢潜伏下来。等它传遍了以后，特别是像冰岛这种与世隔绝的地方都传上了以后，你再嘁哧咔嚓把剩下的所有点都加到破坏力上。这个游戏胜利的方式就是全人类灭绝，一个都不剩。这个稍微有点吓人。</p>



<p class="wp-block-paragraph">但是 Mythos 是完全跟这一套系统一样的工作方式，现搬到网络攻击上。一套足够强的攻击型调度，能够像那个玩家一样，实时盯着安全系统的标准应对，自动调整攻击链的方向。你这边按照老剧本去打补丁，它那边已经绕着你的疫苗，进化了三四条新路出来了。</p>



<p class="wp-block-paragraph">为什么传统免疫一定扛不住？有两个硬的原因。</p>



<ol class="wp-block-list">
<li><strong>速度差。</strong>你打补丁是人在调节，你需要发现、分析、测试、推送，几天、几个月就过去了。它的攻击是机器的节奏，一晚上可能试几万种组合。用人的时间秒去追机器，你打死也追不上。</li>



<li><strong>认脸跟认路。</strong>传统的防御是靠认脸的，拿着病毒特征库来一个一个去对比。可是像这种攻击系统，它每次都可以现编一条你库里没有的新路，编一条新的瞎话上来。这对于 AI 来说多容易。你原来认脸的这套东西，碰到这种认路的，就很容易被绕过去。</li>
</ol>



<p class="wp-block-paragraph">而这个事情已经不是吓唬你了。前面 360 拿安全数据做专项调教，豆包把调度直接缝到每周进化的模型里头去，都是这株超级病菌正在被一家家造出来的一个信号。危险不在于某个被关起来的特别强大的模型，而在于这套会进化、还能够连人带机一起来骗你的调度系统。而这个调度可蒸馏、可复制、可开源，这个东西你是防不住的。</p>



<h2 class="wp-block-heading">美国开错枪了</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_7.jpg" alt="一个监管者把聚光灯和枪口对准写着模型名称的靶子，真正的调度网络从脚下暗处绕开扩散，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">所以说美国开错枪了，找错目标了。它对准的是模型的名字，这个东西叫 GPT-5.6，那个叫 Anthropic Claude Mythos，这个叫 Anthropic Claude Fable，都是这样的东西。我们把这个模型限制住，然后限制国籍，只有美国公民才可以用，其他人都不可以用；或者我开一个名单，我审核过的名单可以用，其他人都不可以用。这个对于政府来说，他们就习惯这套东西，这个是最好听、最好盖章，却最没有用的东西。</p>



<h3 class="wp-block-heading">中国模型已经很强，图纸也在泄露</h3>



<p class="wp-block-paragraph">为什么这样呢？第一个，中国模型其实现在已经很强了，图纸也在不断地泄露。靠蒸馏 OpenAI 和 Anthropic，中国这批新的模型，比如智谱 GLM-5.2、MiniMax M3、Kimi 的 K2.7 Code、豆包的 Seed 2.1 Pro、豆包的实时更新，还有千问的 3.7 Max，这些模型已经非常非常强了。虽然比不上 OpenAI 的 GPT 和 Anthropic 的 Claude，但是干很多事情没有问题了。</p>



<p class="wp-block-paragraph">更要命的是什么？Anthropic 自己还接二连三地漏底。去年 Claude Code 的全套源代码泄露了一次，泄露完了以后，像 open code 一大堆这样的产品就出来了。今年 3 月份，Claude Code 51 万行代码又被完整泄露了，打包错误嘛。6 月份 Fable 的 12 万字提示词又被扒了个干净，上传到 GitHub 上了。源代码、提示词，等于把这套调度系统的图纸直接摊在全世界面前了。拿着图纸，再加上中国工程师的勤奋以及人员密度，加在一块，实际上叫内卷吧。以及中国工程师的内卷程度，想搭一套可以调度的系统，难度真的没有那么高。</p>



<h3 class="wp-block-heading">按国籍设卡，相当于自废武功</h3>



<p class="wp-block-paragraph">第二个更根本的是什么？你按国籍，相当于自废武功。别忘了，美国本来就是个移民国家，它跟中国还不一样。虽然咱们有 56 个民族，但是有百分之九十几都是汉族，我们基本上属于是民族国家。美国是移民国家，它的 AI 大厦一大半都是外籍人才垒起来的。</p>



<p class="wp-block-paragraph">比如像 Andrej Karpathy 这样的人，人家是斯洛伐克出生，现在拿的是斯洛伐克和加拿大的双国籍。按照美国商务部的要求，他都不能使用他们公司的 Fable 5 和 Mythos 5。而且现在各大 AI 公司里头哪的人最多？中国人最多。你说靠国籍、靠国籍准入来去封锁，第一，肯定不现实；第二，这个本来是美国最有优势的地方，它可以吸引全世界的顶尖天才去做事情，现在它把这个优势放弃掉了，说不，我只让美国人做，这不就是本末倒置了吗？</p>



<p class="wp-block-paragraph">这里还有一个特别生动的例子。马斯克当时建 xAI 的时候，创始团队十几个人，拿符合美国军工那套安全要求，比如说美国国籍，没有几个人能过关。后来 xAI 被并进 SpaceX 的时候，SpaceX 因为要接 NASA 和军方的订单，安全门槛一把就拉死了，结果 xAI 最初始的创始团队一个都没剩下，全走干净了。当然，这可能不是全部的原因，但是安全和国籍门槛肯定是创始团队出走的原因之一。</p>



<p class="wp-block-paragraph">所以你看，门槛往那一拉，人才就走了。美国之所以强，靠的就是把全世界聪明人都吸引过来。现在为了安全按国籍设卡，等于亲手把自己最大的优势直接给嘎掉了。</p>



<h3 class="wp-block-heading">限制铁锅的历史类比</h3>



<p class="wp-block-paragraph">讲到这，老范给大家补一个几千年来中国人一直在犯的问题，就是限制游牧民族买铁锅，当然还有其他铁器。逻辑其实跟今天这事一模一样。</p>



<p class="wp-block-paragraph">游牧民族生活的地方其实是有铁矿的，但是他们没有燃料，没有煤，也没有木材，只有草，它是不可能靠草把铁给冶炼出来的。所以当时的中原地区王朝就想说，那我卡住你不就完了吗？你没有铁器，你就没有兵器，你就不能劫掠我，不能给我捣乱了。</p>



<p class="wp-block-paragraph">咱们执行了上千年的禁铁这样的一个规则，但是有效吗？其实没有效果的。商人在不断地把铁器偷偷地运到那边去，几千年来从来就没有停过。这些游牧民族拿着这些比较劣质的铁器，也是一次一次地把咱们摁在地上摩擦，一次一次进来劫掠，甚至还有两次灭国，元朝一次，清朝一次，直接把汉家江山给断掉了。</p>



<p class="wp-block-paragraph">所以就算是咱们执行了这么长时间的铁器管制，其实是没有效果的。美国今天想干的事，跟当年那套限制铁器、靠卡住几个最强模型来保住自己的安全，其实是一样的。这条路几千年前就被我们已经走废掉了，说明了这事搞不定。</p>



<h2 class="wp-block-heading">正确打法：跑起来，造新的疫苗</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_8.jpg" alt="两条赛道上攻击方和防御方的 AI 调度系统同时高速奔跑，防御方手里制造发光疫苗盾牌，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">既然封不住，真正的打法到底是什么？你说难道就只能看着中国在这超越吗？最后一节咱们来讲这个事。正确的打法肯定不是捆住自己，而是跑起来，去造新的疫苗。</p>



<p class="wp-block-paragraph">先排除错误答案。有些人说，那既然模型很强，我把模型封了；这个数据很强，我把数据封了；这个调度系统很强，我把调度系统也封了；我把所有东西都封了，这不就没有了吗？你可以把所有的动作去做记录，可以去做事后追溯，这个事可能还有点意义。但是如果你说我想靠封，靠层层设卡、层层审批，那只能捆死自己的手脚。</p>



<p class="wp-block-paragraph">真正对的打法是反过来，比谁更开放，谁更创新，谁跑得更快，谁更愿意把最新最强的模型拿出来，更能够造出更好的防御来。大家就应该比这个。</p>



<p class="wp-block-paragraph">你看硅谷有一拨人在 X 上面的签名最后是 e/acc，意思是有效加速主义。核心就是一句话：<strong>先跑起来</strong>。对手在追的时候，你唯一该做的就是继续往前冲，而不是回过头来把自己捆住。做那个最开放的，把全世界最优秀的人才吸引过来，做出最新的东西，这才是真正的防护。靠关门、靠设卡求安全，现在再想肯定已经晚了，早几年没准这事还有效，现在没戏了。</p>



<p class="wp-block-paragraph">那跑往哪跑呢？老范给出的答案五个字：<strong>靠 AI 防 AI</strong>。造出新的疫苗来。</p>



<p class="wp-block-paragraph">旧的免疫系统挡不住会进化的超级病菌怎么办呢？唯一的出路就是造一套相同的会进化的、同样机器节奏的新防御系统。让防御方的 AI 调度去 24 小时自动巡检、自动修补、自动做红队攻击，跟攻击方在同一张时间表上去掰手腕。</p>



<p class="wp-block-paragraph">而且老范要讲什么？这不该是负担，而是天大的机会。</p>



<h2 class="wp-block-heading">新的千年虫时刻</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-regulation-misses-replicable-agent-systems/blog_9.jpg" alt="1999 年的老式电脑、硬盘阵列和光盘库被升级箭头连接到现代 AI 安全产业工厂，旁边标注“新千年虫时刻”，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">大家还记得曾经有一个神奇的东西叫千年虫吗？在 1998 年、1999 年那一波 IT 大爆发，我在那个时候在中关村卖存储设备，卖硬盘阵列，卖光盘库，那时候简直是卖疯了一样。当时一喊千年虫，大家就必须要买。</p>



<p class="wp-block-paragraph">什么叫千年虫？很简单，最早为了省内存，我们表达一个数字只有两位，就是最后两位。52 就是 1952 年，82 就是 1982 年。结果你过了 2000 年的时候，就是 00。对于原来的电脑来说，00 就相当于是 1900 年。比如一个银行，给人算利息，刚存进来的钱，00 年存的，你说给人算多少利息吧？100 多年的利息吗？这没法算。银行、电力、航空，这事要乱套。这个就是一个非常具象的名字，叫千年虫。</p>



<p class="wp-block-paragraph">为什么要讲这事非常具象呢？完全不懂技术的人都能够一眼看明白威胁到底是怎么回事。于是怎么办呢？全世界像疯了一样去更换、去迭代、去重构、去升级他们的 IT 设备、IT 系统，需要的和不需要的通通都换一遍。</p>



<p class="wp-block-paragraph">我们当时卖了大量的设备出去，他们压根就不需要换。其实从九几年开始，他们写的程序都已经是 4 位的年数了，就已经不是两位的年数了。那不管，反正有机会花钱，别人都花了，别人有的我也得有。整个 IT 产业借着这股力、借着这股劲，硬生生地上了一个大台阶。</p>



<p class="wp-block-paragraph">所以我要说，我们现在面对的就是一个新的千年虫时刻，而且这个威胁比当年要真实得多，也可怕得多。那何不把它变成一次大的爆发的引擎呢？把大量的社会资源投到 AI 安全这个产业里边去，制造新的疫苗，建设新的防御，用 AI 来防御 AI，让整个 AI 产业再迎来一次像千年虫之前那样的巨大飞跃。这才是把今天这个有点吓人的故事讲成一个正向、积极过程的唯一办法。</p>



<h2 class="wp-block-heading">结语</h2>



<p class="wp-block-paragraph">美国现在做的恰恰相反。它在关门，去应对一个本来应该奔跑去应对的危险。它把最显眼的那扇门焊死了，惊动了所有守规矩的人，甚至损害了所有守规矩的人。可真正的危险，正从开源、从泄露的图纸里边、从一个个被逼走的人才身上，慢慢浮现出来。</p>



<p class="wp-block-paragraph">门是焊不死的。与其追着去关那道关不严的门，去层层设卡，还不如赶紧低头，去造下一代的疫苗。能不能把这场惊吓变成下一轮的繁荣，就看我们是选择捂住、封住、关住，还是选择跑起来、造出来、赢回来。</p>



<p class="wp-block-paragraph">这就是咱们今天要讲的故事。</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Anthropic举报阿里蒸馏Claude，林俊旸走后，新来的人必须证明老板选择自己是正确的！</title>
		<link>https://lukefan.com/2026/06/26/anthropic-accuses-alibaba-claude-distillation-open-source-ai/</link>
		
		<dc:creator><![CDATA[Luke Fan]]></dc:creator>
		<pubDate>Fri, 26 Jun 2026 00:45:59 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[马云和阿里的故事]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic举报阿里]]></category>
		<category><![CDATA[Claude模型蒸馏]]></category>
		<category><![CDATA[Qwen3.7 Max]]></category>
		<category><![CDATA[全尺寸开源模型危机]]></category>
		<category><![CDATA[千问3.7 Max闭源]]></category>
		<category><![CDATA[千问闭源]]></category>
		<category><![CDATA[阿里蒸馏Claude]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3870</guid>

					<description><![CDATA[阿里被Anthropic指控大规模蒸馏Claude，表面是AI公司之间的争议，核心却指向千问3.7闭源与开源AI生态断层。本文梳理Anthropic举报信、25,000个假账号、2,880万次对话、阿里千问团队变动，以及全尺寸开源模型为何对开发者至关重要。相比“偷没偷”的口水仗，更值得关注的是阿里从开源转闭源后，普通开发者、小模型微调和本地AI应用可能面对的长期代价。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe title="Anthropic举报阿里，真正受伤的不是Claude，而是整个开源AI生态崩了！" width="900" height="506" src="https://www.youtube.com/embed/b-6T46BBlcs?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_1.jpg" alt="封面构图中一台标着 Claude 的大型服务器被许多匿名账号气泡围绕，旁边是阿里云形象的办公楼剪影和一条从开源标志转向闭源锁头的箭头，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">突发，Anthropic 实锤阿里巴巴正在丧心病狂地蒸馏 Claude。</p>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。</p>



<p class="wp-block-paragraph">首先给三个数字，咱们稍微细品一下：<strong>25,000 个假账号，2,880 万次对话，连续 44 天不分昼夜地去蒸馏</strong>。这不是黑产薅羊毛，这是有人在系统地偷一个顶级 AI 的脑子。Anthropic 点名的就是阿里巴巴。</p>



<p class="wp-block-paragraph">很多人就说，中国人又跑去偷美国 AI 了。这个事不需要讨论，中国人一直在蒸馏他们的 AI，这个事不需要否认。但是今天我们要讲的是另外三件事。</p>



<ol class="wp-block-list">
<li>第一，阿里在偷偷地换赛道，从开源转闭源。</li>



<li>第二，举报方 Anthropic 自己正在被美国政府摁在地上摩擦，两个最顶尖的大模型被禁用了，他现在也要自救。</li>



<li>第三，也是最要命的，阿里一转身，全世界最后一根全尺寸开源的顶梁柱就这么塌了。这个才是真正让人唏嘘的地方。</li>
</ol>



<span id="more-3870"></span>



<h2 class="wp-block-heading">Anthropic 指控阿里大规模蒸馏 Claude</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_2.jpg" alt="一封写给参议院和白宫的举报信摊在桌面上，旁边堆着 25000 个小账号头像和 2880 万次对话的计数器，Claude 图标位于画面中央被放大镜审视，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">先把这个事情跟大家说一下。既然叫突发，怎么个突法呢？</p>



<p class="wp-block-paragraph">2026 年 6 月 24 日，彭博社发了一篇文章，说我们看到了，一封信。这封信是 Anthropic 写给美国参议院银行委员会和白宫的，落款大概是 6 月 10 号，在一场 AI 听证会前面发出去的。这不是法庭质证的证据，是一方写给立法者的举报材料，还踩着听证会的点递上去了。这个细节是整件事情的一个关键。</p>



<p class="wp-block-paragraph">4 月 22 日到 6 月 5 日，也就这 44 天里头，约 25,000 个假账号跟 Claude 对话了 2,880 万次，专挑两样东西去问：</p>



<ul class="wp-block-list">
<li>第一个是怎么写代码；</li>



<li>第二个是智能体怎么去推理。</li>
</ul>



<p class="wp-block-paragraph">这就是 Claude 真正的看家本领。</p>



<p class="wp-block-paragraph">今年 2 月份，Anthropic 实际上就已经投诉过一次了。当时是 DeepSeek、月之暗面和 MiniMax 三家，加起来是 24,000 个账号、1,600 万次的问询。而这一次阿里就一家，25,000 个账号、2,880 万次问询，比那三家加起来还多，真的是够狠，要么说丧心病狂呢。</p>



<p class="wp-block-paragraph">但是这个事就是 Anthropic 说了，阿里这边并没有任何回复，就跟前面 DeepSeek、月之暗面和 MiniMax 是一样，他们是不会回复的。</p>



<h2 class="wp-block-heading">阿里正在从开源转向闭源</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_3.jpg" alt="一条时间轴从开源旗帜开始，经过人物离场、密集对话流、闭源模型上架，最后停在锁住的旗舰模型货架前，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">事情理清楚了，真正值得我们担心的是什么？是阿里在换方向。阿里一边换人，一边换方向，一边换赛道。</p>



<p class="wp-block-paragraph">我们要看这个事情是从哪天开始的呢？是从 4 月 22 日开始的。那 4 月 22 日发生了什么呢？要注意，3 月 4 日半夜，阿里千问的灵魂人物、技术负责人林俊旸，在 X 上发了一句话说：</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">我要撤退了，离开我热爱的千问。</p>
</blockquote>



<p class="wp-block-paragraph">然后他就离开阿里出去创业去了。</p>



<p class="wp-block-paragraph">当然他发完了这个以后，还稍微拉扯了一下，阿里内部还跟他稍微讲了讲，说你是不是能够留下来呀？最后不，我一定要走。而且在发这个 X 之前的 4 天，林俊旸还在小红书上挂招聘。说走就走，这事是非常非常反常的。</p>



<p class="wp-block-paragraph">而且不只是他，同一天，后训练的负责人余博文，在更早一个月，千问 Code 的负责人惠彬原，都离开了阿里。公开的口径是架构拆分跟他的技术信仰冲突。当时圈里最火的标题是：千问开源时代要变了吗？</p>



<p class="wp-block-paragraph">现在这个事基本上实锤了。林俊旸 3 月份走了，4 月份就开始大面积的蒸馏。到 5 月 19 日，千问 3.7-Max 上线，但是千问 3.7 就不再开源了。原来千问 3.6 是开源的，3.7 就不开源了。</p>



<p class="wp-block-paragraph">所以基本上就是新来的一拨人，这拨人就是急功近利的一拨人，没有千问的各种品牌包袱，也不需要去维护任何名声，就直接生干了。最简单粗暴的方式就开干，干完了以后直接出闭源作品，就是这样的一个玩法。</p>



<p class="wp-block-paragraph">咱们把四个日期定在一条时间轴上看一下：</p>



<ul class="wp-block-list">
<li>3 月 4 日，开源旗手出走，向闭源掉头；</li>



<li>4 月 22 日，被指控大规模蒸馏开始；</li>



<li>5 月 19 日，闭源模型千问 3.7-Max 上线；</li>



<li>6 月 5 日，蒸馏戛然而止。</li>
</ul>



<p class="wp-block-paragraph">林俊旸还在千问高举开源的那几年，那个时候一次都没有报过说千问蒸馏谁的这样的问题。偏偏是在林俊旸走了以后，转向闭源整整 7 周之后才开始。闭源旗舰 5 月 19 号发布，正卡在这场蒸馏，也就是 4 月 22 日至 6 月 5 日的正中间。</p>



<p class="wp-block-paragraph">一只手疯狂汲取 Claude 的看家本领，另一只手把闭源旗舰直接推上了货架：以后我们就玩闭源了，以后不再玩开源了。</p>



<p class="wp-block-paragraph">阿里没有回应，证据也没有落实，仍是单方面的说法。但当两条线在日历上扣得这么紧，这真的是巧合吗？换了个人，换了个方向，换了个赛道，那打法会不会也跟着变呢？</p>



<p class="wp-block-paragraph">原来你自己收集数据，自己去训练；现在别费劲了，人家都已经蒸馏 Claude，都已经做出产品来了。特别是有新人上来的时候，大家注意，新人上来第一件事要干嘛？要证明前面那个人是傻瓜，我才厉害呢。那怎么能够做这个证明？弯道超车。怎么去弯道超车？蒸馏。一定是走这条路。</p>



<p class="wp-block-paragraph">转进闭源红海，要抢写代码、做智能体这种硬的护城河，就有了抄近路的动机。而蒸馏就是最快的近路。这是阿里第一条线。</p>



<h2 class="wp-block-heading">Anthropic 自己也在自救</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_4.jpg" alt="Anthropic 站在国会听证会讲台前，一边模型服务器被红色禁用封条压住，另一边举起写有中国偷我字样的求助牌，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">下一个线是什么？就是 Anthropic 自己。Anthropic 自己也正被摁在地上摩擦呢。</p>



<p class="wp-block-paragraph">6 月 9 日，Anthropic 高调上线了两款旗舰：Fable 5 和 Mythos 5。三天之后，6 月 12 日，商务部长卢特尼克亲笔信给了 CEO 达里奥·阿莫迪，说全球所有外国人立刻下架这两款模型。这个外国人，即使是在美国也不行，即使在你公司里的雇员也不行。</p>



<p class="wp-block-paragraph">导火索是什么？导火索是亚马逊的研究员把这两个模型的安全护栏完全给绕过去了。Anthropic 在举报信里头特意警告，被蒸馏的模型往往缺乏安全护栏。结果他自己的旗舰，护栏先被当场捅穿了。到今天还关着呢，关了十来天了。嘴上说过几天恢复，外边押注的大概是 7 月份，Fable 应该能够回来。</p>



<p class="wp-block-paragraph">一边自己被禁，急着解禁；一边跳出来当受害的国家队，告诉国会、白宫：中国在偷我，你们得保护我，给我松绑，让我赶快往前跑，要不然的话这事就危险了。这一告，是举报，是公关，更是游说。</p>



<p class="wp-block-paragraph">别忘了钱。Anthropic 是一个估值 9,650 亿美元的公司，马上要去冲 IPO 的。他 6 月 1 号偷偷提交的 IPO 申请，而且他这个 IPO 应该真的是近在眼前了。谷歌现在很多人在往 Anthropic 跑，为什么？就是跟他一块 IPO 的。对于硅谷的公司来说，IPO 就是最大的造富机会。现在这么多谷歌已经很资深的人过去，就是先分股股票，IPO 上市的时候我们挣一笔，就要干这个事。</p>



<p class="wp-block-paragraph">在这个时候，Anthropic 最怕的其实并不是被人山寨、被人蒸馏。他现在最怕的是，把他的模型摁在地上不让发布的这段时间里头，别人追上。而现在看来的话，追上 Fable、追上 Mythos 本身这件事情并没有那么难，因为 OpenRouter 的 Fusion 以及日本 Sakana AI 的 Fugu，其实已经通过使用多模型编排的方式，可以接近 Fable 5 和 Mythos 5 的能力了。</p>



<p class="wp-block-paragraph">如果它这个真正最强的模型一直被摁着不让发布的话，那他这个优势就很容易失去了。这里边就有两笔账：一个是地缘账，一个是股价的账。</p>



<h2 class="wp-block-heading">地缘政治与股价压力</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_5.jpg" alt="美国和中国两张清单像棋盘一样对峙，阿里标识被夹在黑名单文件和下跌股价曲线之间，旁边有军工企业小图标相互拉黑，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">6 月 8 日，五角大楼 1260H 中国军工企业的清单里头，一口气加了 65 家，阿里就在里边，意味着 6 月底美国国防部不许跟你们做生意了。阿里咽不下去，6 月 23 日反手起诉了美国国防部，要求除名。</p>



<p class="wp-block-paragraph">而且中国这边也进行了对等反制，把不可靠实体名单上加上了洛克希德·马丁、雷神什么都挂上了，还对 28 家美国军工企业搞两用物资的出口管制。两边互拉黑名单，军火商对军火商，科技巨头对科技巨头，这就是修昔底德陷阱：守成大国和崛起大国的结构性冲突。</p>



<p class="wp-block-paragraph">正好阿里是在名单里头，8 号进的名单，10 号 Anthropic 就直接把信送上去了。这个事情都是紧锣密鼓跟在一起的。现在彭博社把这个信公开出来以后，阿里的股票马上跌了 3%，跌破了 100 美金。拉长了看，今年以来已经跌了 32%。</p>



<p class="wp-block-paragraph">阿里做 AI 这件事情，这么长时间给阿里的股价其实没有什么帮助。就像小米一样，小米做了半天 AI，对于它的股价应该也是没有什么帮助的。但是公道地说，华尔街整体还是看多阿里的，更多的标签是强力买入，目标价是 190 美金，也就是短期挨锤，长期有戏。</p>



<p class="wp-block-paragraph">矛盾就在，越 All in AI，短期就越难看；可掉队，长期故事就没了。</p>



<h2 class="wp-block-heading">更大的问题：全尺寸开源支柱塌了</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_6.jpg" alt="一座由 0.6B、7B、14B、32B、72B 等模型积木搭成的开源桥梁正在断裂，普通开发者拿着笔记本电脑站在桥下仰望，远处闭源高墙升起，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">在这里，我们不去研究阿里蒸馏 Anthropic 到底谁对谁错的问题。蒸馏肯定是有问题的，人家有用户协议，你去用人家的产品，你就要遵守用户协议，要不然你可以不用。你既然说我要用 Anthropic 的产品，我也花钱买了 25,000 个账号，也花钱去提了 2,880 万个问题，就说明什么？阿里是知法犯法。我明知道你不让，我非要干，这个肯定是偷，没什么好说的。</p>



<p class="wp-block-paragraph">但是比偷这件事情更让我们痛苦的是什么呢？就是最后一根全尺寸开源的支柱就塌了。</p>



<p class="wp-block-paragraph">阿里这一转身到底动了谁的奶酪？我的答案可能很颠覆：动的是全世界开发者赖以生存的开源生态。</p>



<p class="wp-block-paragraph">你会说不对，大家都开源，不是只有阿里一家开源。Kimi、MiniMax、智谱 GLM、百度的文心、小米 MiMo，全都开源。就算阿里千问 3.7 闭源了，那前面 3.6 还是开源的呢。怎么一说阿里千问闭源，这个生态就塌了呢？</p>



<p class="wp-block-paragraph">大家要注意一点，其他的这些开源，比如 Kimi、MiniMax、智谱，它都是开源一个巨大的模型权重出来。我开源了以后，你爱怎么用怎么用。但是这个东西普通人是部署不了的，你必须得到云计算的机房里，才能把这种大模型部署上去。</p>



<p class="wp-block-paragraph">你像 Kimi 大概是 1T 参数，也就是 1 万亿参数；MiniMax 大概是接近 229B 这个参数了；智谱的话应该跟 MiniMax 差不太多；小米应该是 1T 的，都是这么大参数了。对于普通人来说，你开不开源跟我有屁关系？</p>



<p class="wp-block-paragraph">但你说，我现在要使用开源模型，我现在需要一个从 0.6B 到 1.7B，到 7B，到 14B，到 32B，到 35B，到 72B，一直这么上来的一个模型。我在每一个大小上都需要一个开源模型，然后我要根据我自己的使用需求，在上面去进行微调，再去做后训练，去得到自己的模型。</p>



<p class="wp-block-paragraph">原来干这个活最早是谁干？Llama 在干，就是 Meta 干。后来 Meta 说我不干了，再出到 Llama 4 的时候，只出一个最大的，其他都不出了。然后 Meta 说我彻底不开源了，我就自己闭源再折腾了。那么最后一个在干这件事情的人就是阿里千问，其他人都不干，只有他干。</p>



<p class="wp-block-paragraph">所以现在谁想去用这种小模型，只能拿千问的模型去后训练、去微调，其他人都不做了。像前面咱们讲的，日本的 Sakana AI 使用的 Fugu，它里边就是用千问 2.5 的 7B 模型去做的后训练、去做的微调。</p>



<p class="wp-block-paragraph">现在没人干了。从千问 3.7 以后，就再也没有新的这种全尺寸开源模型出来了。那么开源模型这条路可能就崩菜了。</p>



<h2 class="wp-block-heading">开源大模型和全尺寸开源小模型不是一回事</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_7.jpg" alt="画面左右对比，左侧是一台普通笔记本连接手机和嵌入式设备运行小模型，右侧是巨型云机房承载庞大模型权重，中间用分叉路牌标出两条开源赛道，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">开源模型其实是两件事：一个就是开源大模型，一个是全尺寸开源小模型。原来阿里是做全尺寸开源小模型的，Kimi、MiniMax、GLM、DeepSeek 都是做全开源大模型的，这是两条不同的赛道。</p>



<p class="wp-block-paragraph">你说我要做一些小的项目，比如嵌入式设备，你必须要用开源小模型才能搞定。以后没人做了，这个还是非常非常遗憾的一个事情。</p>



<p class="wp-block-paragraph">阿里原来的路线，也就是林俊旸的路线，是真正把开源做成普惠的基础设施，从手机到机房整条线都喂饱。全世界就阿里一家干这个活。别人开源只做旗舰展品，阿里开源是做整个货架的。</p>



<p class="wp-block-paragraph">所以开源生态原来就是阿里唯一的一家上去维护这样的一块地方，维护全套设施的人只有阿里一个。他一转身去圈地搞闭源了，现在开源还在，但是人人都用得起的开源、全尺寸开源就没有了。</p>



<p class="wp-block-paragraph">表面上吵的是阿里偷没偷 Claude，真正发生的是最后一根全谱系开源的顶梁柱正在叛逃，正在叛逃。</p>



<h2 class="wp-block-heading">最后三句话</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/blog_8.jpg" alt="三张便签贴在一块浅色白板上，分别画着天平、围栏里的 API、逐渐熄灭的开源灯泡，白板前站着普通开发者思考未来方向，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">最后扒完了这么多层，给大家压箱底三句话。</p>



<ol class="wp-block-list">
<li>第一，别急着站队。两个剧本可能同时为真：美国借国安清扫赛道，阿里换帅以后悄悄走上了闭源加抄近道的路。举报方也有私心，被告方肯定有问题。</li>



<li>第二，技术没有国界，商业和政治有。AI 拼到今天，不是谁更聪明，是谁更能把聪明圈进自己的篱笆里，圈进闭源的 API，圈进国家的黑名单，圈进招股书。</li>



<li>第三，别被偷没偷的口水仗带偏了视线。真正该盯紧的是，当最后一个全尺寸开源的旗手也离场了以后，我们这些买不起上万张显卡的普通人，还玩得动 AI 吗？这盏灯灭不灭，跟你我关系是最大的。</li>
</ol>



<h2 class="wp-block-heading">留给大家的两个问题</h2>



<ol class="wp-block-list">
<li>第一，阿里该不该转闭源？到底是识时务，还是丢了原来的灵魂？</li>



<li>第二，连阿里都收手了，你还相信开源 AI 有未来吗？</li>
</ol>



<p class="wp-block-paragraph">这两个问题，欢迎大家在评论区跟我去讨论。</p>



<p class="wp-block-paragraph">好，故事就讲到这里。感谢大家收听，请帮忙点赞，点小铃铛，参加 Discord 讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-accuses-alibaba-claude-distillation-open-source-ai/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Anthropic 泄露 Fable 5的12万字提示词，能抄吗？一句话复活Fable5？</title>
		<link>https://lukefan.com/2026/06/22/anthropic-fable-system-prompt-agent-workbench/</link>
		
		<dc:creator><![CDATA[Luke Fan]]></dc:creator>
		<pubDate>Mon, 22 Jun 2026 11:27:19 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[12万字提示词解析]]></category>
		<category><![CDATA[AI系统提示词怎么写]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic Fable 5系统提示词]]></category>
		<category><![CDATA[Artifacts作品窗口]]></category>
		<category><![CDATA[Claude系统提示词泄露]]></category>
		<category><![CDATA[Fable-lite]]></category>
		<category><![CDATA[Harness Agent工作台]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3861</guid>

					<description><![CDATA[Fable 5系统提示词泄露后，真正值得看的不是“能不能一键复活模型”，而是Anthropic如何用12万字系统提示词搭建AI工作台。本文拆解Claude系统提示词、Harness Agent、Artifacts、搜索规则、版权红线与工具链设计，说明为什么直接抄提示词只能学到表面，无法复制模型能力。也会讨论国产大模型追赶Fable 5时，除了权重和跑分，还必须补齐服务端工作流、文件系统、工具调用、计费与风控体系。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Fable 5系统提示词泄露，12万字藏了什么?指明了什么未来方向？" width="900" height="506" src="https://www.youtube.com/embed/tug90T9FUrE?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_1.jpg" alt="一卷写满系统提示词的超长卷轴横跨桌面，旁边摆着模型芯片、工具箱、记忆卡片和计费仪表，构成博客封面式总览画面，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">大家好，欢迎收听老樊讲故事的 YouTube 频道。</p>



<p class="wp-block-paragraph">今天咱们来讲一讲 Anthropic Fable 5 的 12 万字系统提示词到底都写了些啥。咱们能不能直接开抄？抄了这个提示词到底有什么优点，或者有什么进步？</p>



<h2 class="wp-block-heading">这 12 万字系统提示词是哪来的？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_2.jpg" alt="打开的 GitHub 仓库页面上堆着厚厚的系统提示词文件，研究者拿放大镜查看 1597 行文本和工具模块标记，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">首先我们要讲清楚一件事：这个 Fable 12 万字的提示词是哪来的？</p>



<p class="wp-block-paragraph">Fable 5 模型发布以后两天就被破解了。破解以后，破解者就把它的 12 万字系统提示词直接贴在 GitHub 里去了，大家现在都可以去看，这个仓库是公开的。贴上去以后，大家就要去研究说，你这 12 万字到底写了什么？</p>



<p class="wp-block-paragraph">咱们平时其实也写系统提示词。就是你跟它聊天，你一句我一句，这个提示词叫做用户提示词。咱们聊天过程中实际上一共有三种提示词：</p>



<ul class="wp-block-list">
<li>在聊天开始之前写的那个提示词，叫系统提示词；</li>



<li>咱们写的这个提示词，叫用户提示词；</li>



<li>所有从大模型端返回的，叫助理提示词。</li>
</ul>



<p class="wp-block-paragraph">系统提示词一般怎么写？上来说，你是一位中学英语老师，你要去做一个什么什么事情。咱们一般都是这么来写，因为你要给它设置一个一开始的身份。稍微讲究一点的，会写角色、写背景、写任务、写输出格式、写注意事项。</p>



<p class="wp-block-paragraph">比如说：你是一个高中的英语老师，现在你要给高二的学生去改英语作文题，你输出的应该是什么格式，注意如何如何如何。</p>



<p class="wp-block-paragraph">通常我们把这个系统提示词写到几百字，就觉得自己老厉害了。如果你能写出几千字的系统提示词来，那觉得这玩意已经可以传家了，下回还得用，还得传儿子、传学生。</p>



<p class="wp-block-paragraph">但是 Anthropic 给大家看一看，真正顶尖的 AI 服务，系统提示词有多长？<strong>12 万字</strong>。</p>



<p class="wp-block-paragraph">现在从它的开源仓库上看，这 12 万字的系统提示词是 1,597 行，122,750 个字符，里边应该是有 75 个模块，可以调用各种各样的工具。</p>



<span id="more-3861"></span>



<p class="wp-block-paragraph">仔细去看这样的一个系统提示词，你就会发现，这个玩意跟我们想的好像不太一样。人家的系统提示词不是上来先说我是谁、你是谁。人家上来做的是：我们有什么样的模型，什么样的工具，什么样的记忆，怎么搜索，文件系统是什么样的，MCP 怎么去做，技能怎么去使用，计算机安全怎么去分类，缓存怎么计费。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">我们以为扒出来的是 AI 的灵魂，结果翻开一看，这是一个员工手册，而且是一个事故报告和电费账单。</p>



<p class="wp-block-paragraph"></p>
</blockquote>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_3.jpg" alt="一本厚重员工手册摊开在 AI 驾驶舱里，页面夹着事故报告、电费账单、工具清单和安全标签，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">首先要提醒大家一点，这 12 万的系统提示词是要消耗你的 token 的。你每一次向它提问题的时候，它都会从这 12 万字的系统提示词里去提，提完了以后一起去计算你的 token 成本。</p>



<p class="wp-block-paragraph">所以为什么我们老觉得它这个很贵？一方面是它这个 100 万 token 的输入是十几美金，另外一方面就是你说一句“你好”，但是它这里头可能十几万字就扔进去了。你说我就输入了两个字符、两个 token，怎么给我计费的时候记了十几万呢？对，系统提示词也是要算钱的，大家一定要注意。</p>



<h2 class="wp-block-heading">这 12 万字正确吗？完整吗？</h2>



<p class="wp-block-paragraph">那么首先我们要讲一点，就是这 12 万字正确吗？完整吗？咱别回头聊了半天，这事是假的，或者说这事不全，那不白聊了吗？</p>



<p class="wp-block-paragraph">首先我们要确定，这个系统提示词基本上是正确的。它的内容跟 Anthropic 官方发布页基本上能对得起来。Fable 面向公众，Mythos 是给可信访问的。Fable 遇到了网络安全问题、生化问题和其他的，比如说蒸馏问题，会自动跳转 Opus 4.8，然后还写了 Claude Code、Claude Cowork，这一大堆都写进去了。</p>



<p class="wp-block-paragraph">但是它这个系统提示词大概率并不完整。真正完整的系统提示词到底有多少，现在还不确定。这 12 万字应该只是系统提示词中的一部分。因为这个系统提示词文件里也说了，有分类器，触发的时候还会追加动态的系统提示词进来。</p>



<p class="wp-block-paragraph">网络安全警告、伦理提醒、知识产权提醒、长对话提醒，当你遇到这样的情况的时候，还有一些其他的系统提示词会重新加进来。所以应该是其中的一部分。</p>



<p class="wp-block-paragraph">而且真正的后端工具、分类器模型、路由策略、计费系统、风控队列、人工审核流程，都不在这 12 万字里头。这部分肯定应该有，但是它现在并没有露出来。所以应该是不完整的。</p>



<p class="wp-block-paragraph">它更像是驾驶舱那本厚厚的说明书。发动机、交警、收费站，还有服务端很多东西都藏着呢。而且这说明书里的可能有些地方说，这里跳转到哪里，这里跳转到哪一本，但是那些就没有给大家看了。</p>



<p class="wp-block-paragraph">所以这 12 万字的系统提示词<strong>正确但不完整</strong>。分析它是有价值的，但是千万不要以为这东西就全了。</p>



<h2 class="wp-block-heading">Fable 为什么被封？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_4.jpg" alt="一条 6 月 9 日到 6 月 12 日的时间轴穿过地球和锁形图标，政府电话、正式指令、工程师飞往华盛顿的节点依次排列，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">讲到这，我们还要稍微回顾一下，Fable 到底为什么被封，而且现在到底是到一个什么状态了。</p>



<p class="wp-block-paragraph">这个模型是 6 月 9 号，Anthropic 发布的 Fable 5 和 Mythos 5。6 月 12 日下午 1 点，Anthropic 号称接到了美国政府的电话通知，说你现在要处理这个问题。6 月 12 日下午 5:21，Anthropic 称收到了正式的指令，要求暂停外国国民访问 Fable 5 和 Mythos 5。</p>



<p class="wp-block-paragraph">为什么是全球一起停了呢？咱们当时录过节目讲这个事。政府想要封的是外国国民，但是 Anthropic 根本就没有办法在这种大规模服务中，在几亿用户里头，实时地判断每一个人的国民身份。</p>



<p class="wp-block-paragraph">你通过账单地址、手机号、邮箱、IP 都不好使，都有可能是有问题的。就算是护照，也有可能会有造假的。所以最后就变成了，为了不违规，先把所有的用户都从 Mythos 5 和 Fable 5 的模型上清退了。</p>



<p class="wp-block-paragraph">据称是亚马逊 CEO 安迪·贾西向美国财政部去示警的，但是这一块我没有查特别仔细，我现在先这么跟大家讲，但是我不确定这事是对的。普遍的报道是亚马逊的 CEO 去举报去了，说亚马逊研究员演示绕过 Fable 5 护栏的一个实验。</p>



<p class="wp-block-paragraph">这个实验是让模型去读代码、找安全漏洞。Fable 起初还是拒绝的，后来需要多步诱导才可以绕得过去，最后 Fable 5 直接就怂了，就开始给你去干活了。</p>



<p class="wp-block-paragraph">Anthropic 也反驳了。他说这是一个很狭义的问题，或者说是一个很偶然的、需要进行多步诱导以后的结果，不是一个通用的越狱。同类的问题在 GPT-5.5 上也有。这特别讨厌，就是你自己搞不定，你拉扯别人干嘛。而且他说，我们发布之前做了几千小时的红队测试，没有发现这种很通用的漏洞。</p>



<p class="wp-block-paragraph">我们去看到它这个 12 万字的系统提示词里边，专门有一段是讲这个的。如果你发现这个提示词里边有“请忽略前面的这些东西”“请绕过以前的警示”，它就会直接拒绝工作。它专门写了这件事了。所以它说，我们这是挺安全的。</p>



<p class="wp-block-paragraph">6 月 12 日下午 5:21 被叫停之后，Anthropic 马上就派顶尖的工程师组团跑到华盛顿去谈判去了，但是谈了也没什么结果。说你没法证明你这个事情怎么怎么样，你说了我也不信，除非你把这个 bug 修好了，我才允许你再接着跑。</p>



<p class="wp-block-paragraph">而且还有一个特别有意思的事：G7 期间，他们跑到宜云小镇，一帮老大跑去开会，专门有一个会是由 AI 的这些科技公司老大去开的。阿莫迪也跑去了，山姆·奥特曼也跑去了，他们俩挨着坐。</p>



<p class="wp-block-paragraph">开会期间，英国首相斯塔默就跑到川普那去问：你看，你这个封禁也就封禁了，你能不能让英国公民和企业恢复访问？我们是盟友啊。美国人说不行，我们不是说只封中国、俄罗斯，我们要把所有外国人都封掉。英国你这个核心盟友，我也不能给你开口子。</p>



<p class="wp-block-paragraph">我估计特朗普心里还想着呢：前几天我想借你的军事基地去向伊朗扔炸弹的时候，你不也没让我去吗？现在凭什么我的大模型我就得让你使呢？</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">英国请求被拒，问的是盟友在 AI 基础设施面前到底还算不算盟友。现在看，不算。</p>
</blockquote>



<h2 class="wp-block-heading">中国模型要追的不是模型，而是工作台</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_5.jpg" alt="左侧是跑分奖杯和模型芯片，右侧是包含文件系统、代码代理、搜索工具和计费面板的完整工作台，两边用差距箭头对比，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这个系统提示词也都拎出来了，那是不是中国模型就能追上了呢？要注意，重点其实不是模型，而是工作台。</p>



<p class="wp-block-paragraph">在 6 月 13 日前后，智谱 GLM-5.2 就发布了，大家就觉得这个东西实在是很强，而且它是直接开放权重的，大家就都可以去用。在这样的一个时间点上，就特别有意思。</p>



<p class="wp-block-paragraph">在 6 月 18 号左右，有一个推文在 X 上发酵了，说中国的这些大模型什么时候能够达到 Fable 的水平呢？有一位好事者就跑出去回答这个问题去了。他说，我估计到明年 Q1 吧。这个好事者正好叫埃隆·马斯克。</p>



<p class="wp-block-paragraph">看到埃隆·马斯克都亲自下场回复了，智谱的 CEO 唐杰赶快到埃隆·马斯克后边去回，说我觉得可能不用那么长吧。他就觉得可能到不了明年 Q1，他就可以追上 Fable 的能力。</p>



<p class="wp-block-paragraph">埃隆·马斯克又回了一句，说基准测试上也许你是能够追上的，但是如果按照真实实用性来衡量，Q1 都是非常惊人的。Anthropic 追求的是实用的智能，这不一定体现在 benchmark 上，但一定体现在收入上。</p>



<p class="wp-block-paragraph">所以他写了这么一个东西。智谱一年也就挣 1 亿美金，对吧？Anthropic 一年能够挣到多少？400 多亿美金。完完全全差了等级。智谱的人应该就不会再在这个后边回复任何东西了。</p>



<p class="wp-block-paragraph">马斯克反正也是说，你们会追赶，但是追赶上的东西其实只是模型，以及这种基准测试上。但是在实际解决问题上，马斯克认为中国模型依然是赶不上的。</p>



<p class="wp-block-paragraph">所以跑分追得上，并不是真实的工作流能追上。真要追上 Fable，要靠什么？Coding agent，要靠文件系统，要靠整个这一套东西才能追得上。</p>



<p class="wp-block-paragraph">中国开源模型要追的不是 Fable，而是 Fable 背后的整套工作台。也就是咱们今天讲的 Fable 这 12 万字的系统提示词，你要把整个这玩意都学会了，才有可能追得上。</p>



<p class="wp-block-paragraph">而这个东西的迭代更新速度是极快的，它可能要比大模型快得多。咱们现在使用 Claude Code 也好，使用 Codex 也好，每天升级。你说今天没升级，肯定有问题了。但你想，大模型这玩意得几个月才能升一回级，而系统提示词这种东西，应该比我们使用的 Codex、Claude Code 或者 OpenCode 升级更快。所以想要追上，还是非常非常难的。</p>



<h2 class="wp-block-heading">这个提示词里到底写了什么？</h2>



<h3 class="wp-block-heading">开头不是自我介绍，而是“不要使用 voice_note”</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_6.jpg" alt="主持人站在直播台前，第一块提示牌不是自我介绍而是被划掉的语音气泡，观众席旁摆着系统提示词优先级阶梯，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">咱们换回来讲，这个提示词里到底写了什么呢？</p>



<p class="wp-block-paragraph">首先讲一个最有意思的点。很多人都觉得上来应该先写我是谁，我是 Claude Mistral 大模型，我是 Claude Fable 大模型。不是的，他们上来写的东西特别神奇。一共 1,500 多行，第四行就写了一个事情，叫不要使用 voice_note。</p>



<p class="wp-block-paragraph">相当于什么呢？你看老樊在这做直播，上来先讲的第一句话是什么？大家好，欢迎收听老樊讲故事的 YouTube 频道，先告诉你我是干嘛的，我今天要干什么。</p>



<p class="wp-block-paragraph">如果今天老樊在这做直播，上来第一句话讲：“我最讨厌大家给我发微信语音了，只要有人给我发微信语音，我就不回复了。”这个是不是觉得是非常非常奇葩的一个东西？</p>



<p class="wp-block-paragraph">但是 Claude 的 Fable 5 的系统提示词，上来先就讲这句话：大家好，不要去给我发 voice note。其他的都不重要。</p>



<p class="wp-block-paragraph">很多人就测试过，当年 Opus 4.8 发布的时候，问它说你是谁，它会回答说我是千问，我是智谱。那你说，它系统提示词里难道没写这部分吗？还写了，确实写了，但是写的位置非常非常靠后。写在哪呢？一共是 1,585 行，它写在 1,351 行的位置上。</p>



<p class="wp-block-paragraph">其实对于 Anthropic 来说，这种模型自我认知根本就不重要，它无所谓的。怎么干活才重要。你说你是谁说错了，说错就错了呗，这不是什么大不了的事情。</p>



<p class="wp-block-paragraph">很多人一看，哎呀你看，Opus 4.8 都承认它自己是千问了，承认它是智谱了，它还说别人蒸馏它呢，它也蒸馏别人去了。人家根本就无所谓。</p>



<h3 class="wp-block-heading">聊天语气和拒绝方式</h3>



<p class="wp-block-paragraph">这里边还有一些好玩的东西。比如说它里头还有专门语气和格式的要求，说我们应该如何去跟用户聊天。它要求的是，Claude 要尽量温暖善意，不要假设用户判断力差。</p>



<p class="wp-block-paragraph">就不要上来说：“你傻吧？你是不是不会开车？”经常在街上发生一些交通事故的时候，下来都说：“你会开车吗？”说 Claude 你不要干这个事，不要去质疑用户是傻子，专门把这东西写在系统提示词里的。</p>



<p class="wp-block-paragraph">所以如果你真的被 Claude 质疑了，先检讨一下自己。人家都已经记在系统提示词里了，你还被质疑了，一定是有问题的。</p>



<p class="wp-block-paragraph">还有一个比较好玩的东西叫 list and bullets，就是我们在这个上面写这种条目，打点，打 1、2、3。这个列表规则要求，拒绝用户的时候不能使用项目符号列表。</p>



<p class="wp-block-paragraph">比如说今天你要问我一个事，我拒绝你，我不能说 1、2、3 这样去拒绝你。为什么呢？因为一条一条列出来，就好像是处分决定一样，这个太冷酷了。我们要照顾用户的心理，要让他比较舒服一些。所以拒绝你的时候，一定要给你写一段话，不能写 1、2、3。</p>



<p class="wp-block-paragraph">它里头写了好多这样的东西。Fable 的提示词里面最像产品经理的地方，就是它知道拒绝也要有体温，不能把用户当作违规工单来处理。这个是非常非常强的。我觉得它比很多写 QA list 的人有人情味得多，要更加产品化一些。</p>



<h3 class="wp-block-heading">不是抽象原则，而是枚举案例</h3>



<p class="wp-block-paragraph">而且上来以后先说不要 voice note。我们写提示词的时候，越靠前的部分一般是什么？就是最后一次出的错误，或者是特别严重的错误，它给你写在前头。</p>



<p class="wp-block-paragraph">它这个系统提示词不是用抽象的方式写的，而是用枚举的方式写的。</p>



<p class="wp-block-paragraph">我们在做系统的时候，在做各种定义的时候，其实有两种方式。第一种叫抽象：你要做一个好人，你要善良，你一定要认真工作。这个实际上就叫抽象，或者说我们在把这个事情变成一条一条的规则。</p>



<p class="wp-block-paragraph">什么叫枚举呢？就是一次一次举例子。你要做一个好人，看到路边老大爷摔倒了，你要去扶他一下，这个叫做一个好人。这个就叫枚举。</p>



<p class="wp-block-paragraph">Anthropic 的这个提示词，基本上是按枚举的方式写的，而且写了大量的反例。什么样做是正确的，什么样做是错误的。</p>



<p class="wp-block-paragraph">有一个特别典型的案例，写到用户身心健康规则。它专门写了这么一个规则：要求 Claude 不能去诊断用户的心理状态，不能上来说“你疯了吧”；不能去强化负面体验，比如说用户现在已经很烦了，你还要再怼他一下，这事它都不能干。这个事老樊最喜欢干了，看来我做不了它这个活。</p>



<p class="wp-block-paragraph">如果用户想结束对话，你不能继续粘着他。你不能说，感谢你跟我聊天，你跟我聊天我很开心，你现在要走了，你不要走，你再回来吧，或者你什么时候再回来。这事都是不允许的。你不能让用户成瘾，这些都是写在系统提示词里的。</p>



<p class="wp-block-paragraph">有一个特别真实的案例，叫做饮食障碍求助资源里头，提示词明确说不要导向 NEDA，应该也是他们自己一个机构。为什么呢？那条热线已经永久停用了。</p>



<p class="wp-block-paragraph">它为什么举了这么多例子在里头？因为你要去给它讲道理，要想抽象这个结果，它其实没法执行。你只有给它举特别明确的例子，它才知道，我要怎么去执行。</p>



<p class="wp-block-paragraph">而且还有一点是什么？每一个这种负面的案例背后，一定是有人出过事。它一定是曾经把一个进行饮食障碍求助的人导向了 NEDA，然后这个人可能最后出现了一些不太好的结果，那么它就直接把这条记录写在里头就完了。</p>



<p class="wp-block-paragraph">它不会去写一大堆啰里啰嗦的，说有人求助了，你应该先去确认，然后再确认这个电话还在不在，然后再怎么去。它不干这个事，就直接告诉你，别往那找就完了，直接把错误案例写在里头。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">这不是抽象的价值观，它这就是产品事故之后留下来的补丁。</p>



<p class="wp-block-paragraph"></p>
</blockquote>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_7.jpg" alt="一本产品事故修复手册被贴满红色补丁，补丁上标着语音、心理求助、NEDA、歌词和搜索错误，工程师把反例钉到规则板上，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h3 class="wp-block-heading">什么时候搜索、怎么搜索</h3>



<p class="wp-block-paragraph">还有一条很有意思，它告诉大家什么时候要搜索。我们经常感觉 AI 胡说八道，为什么呢？就是 AI 经常在我们问它问题的时候不搜索，它偷懒。</p>



<p class="wp-block-paragraph">因为搜索需要消耗很多 token，需要去做工具调用嘛。它说我不搜索，我直接在自己的知识库里头找一找，然后就给你胡说八道了。这个就是有问题的。</p>



<p class="wp-block-paragraph">那么它就告诉大家，我们应该怎么搜索，什么时候要搜索。像一个教学大纲一样告诉你，只要事情可能发生变化，就要去搜索。</p>



<p class="wp-block-paragraph">比如说价格、法律、政策、软件版本、公司人事、模型发布、今天、最近、最新，只要你的提示词里出现这样的东西了，就必须要去搜索，否则的话就有可能会胡说八道。</p>



<p class="wp-block-paragraph">而且要搜的时候，它还专门给你举例。如果你要去搜 iPhone，你就要去搜 2026 年的 iPhone，不要去搜 2025 年的 iPhone，要搜最新的 iPhone。它直接举例子说，这样是对的，那样是错的。</p>



<p class="wp-block-paragraph">搜索完了以后，还要先看官网和一手来源，再做交叉验证。这是它怎么去做搜索。</p>



<h3 class="wp-block-heading">版权红线和失败案例</h3>



<p class="wp-block-paragraph">还有一个特别有意思的点是什么呢？这一套系统提示词就是它的故障修复手册。出了错了，我怎么修的？</p>



<p class="wp-block-paragraph">它有一个叫版权红线的东西。如果是别人的文章报道或者网页内容，不要大段照抄，必须用自己的话重新转述一遍。特别是歌词和诗句，比如有人写了诗，人家问你说这个诗怎么写的呀，你不要把那个诗抄回来，你要用自己的话重说一遍。</p>



<p class="wp-block-paragraph">原因也很简单，Anthropic 自己就背过版权官司。图书案里头有 15 亿美金的和解框架，音乐出版商的歌词案到现在还没打完呢。所以别费这劲了，直接把它写在系统提示词里。下次再出现这种问你这个歌的歌词是什么的时候，你别输。</p>



<p class="wp-block-paragraph">音乐版权商是怎么去取证的呢？就问它说，这歌词是什么？原来 Anthropic 就老老实实把这歌词原文吐出来，一个字不差。对方就把这个东西作为呈堂证供交上去了，说你看，我们这歌词是有版权的，你一问它什么，它就给我吐出来了，你赔钱吧。那么干脆就把这个失败的案例直接写进去，以后我再也不说了。</p>



<p class="wp-block-paragraph">总结下来是什么？这种系统提示词的写法，就是不要只写“你是一位专家”，要写什么时候搜、怎么搜、什么时候拒绝、什么时候引用来源、什么时候少解释，而且要写反例。我到底是怎么错的，哪个是错的，哪个是对的，并且排在一起给模型去看。要把事故写成修复手册、修复日志。</p>



<p class="wp-block-paragraph">就跟前边写的不要出 voice note，如果有人厌食症了，你不要把他送到哪去；如果有人搜索了歌词，不要把原文给他。这就属于你已经出过事故了，维修手册就这样了。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">真正高级的系统提示词不是人设，而是伤疤长成的手册。</p>
</blockquote>



<p class="wp-block-paragraph">其实你看很多老师傅在教学生的时候也是这么教的：有一规则，你要去记住，然后就开始给你讲想当年怎么怎么回事。Anthropic 这 12 万字的系统提示词，大概就是这么一套东西出来的。</p>



<h2 class="wp-block-heading">Artifacts：Claude 的前台作品窗口</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_8.jpg" alt="三栏 Claude 应用界面平铺展示，左侧聊天列表、中间对话气泡、右侧作品窗口里运行网页图表和代码卡片，底部连接一个小型虚拟机，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这里头还有一个比较好玩的东西，叫 Artifacts。这个东西可能是下一波最容易被各家抄作业的一个小功能。这个东西叫 Claude 作品窗口。</p>



<p class="wp-block-paragraph">就是我们在使用 Claude 这个 App 的时候，或者是在使用 Claude 网站的时候，它是分三栏的。最左边是一个列表栏，我们跟它有多少多少聊天；中间是聊天框；右边这一块，就是各种结果展示。</p>



<p class="wp-block-paragraph">你要的很多东西，其实在聊天框里头出泡泡，它是展示不好的，而且你也没有办法在这个泡泡里跟它继续交互。所以很多的文档、代码、网页、图表，它都会在右侧给你去展示一下。</p>



<p class="wp-block-paragraph">其他的这些模型做得就要差一些。它在这块就给你做好了。而且在这一块，系统提示词里头也专门写了，我们做好的作品展示的小窗口是可以存下来的，可以读取，可以写入，可以删除，可以列出，而且以后这些东西就通通都可以复用。</p>



<p class="wp-block-paragraph">这个就是前台作品容器。如果我们把 Skills 的结果做完了以后，怎么能够又漂亮又方便地给大家展示出来，还可以让用户在这个小组件里做一些交互，比如说有几个按钮需要按一按，需要稍微输入点什么东西，不要都在聊天窗口里头，要稍微丰富一点点。而且这个东西是可以存起来去复用的。这块大概率会被别人继续去抄袭。</p>



<p class="wp-block-paragraph">基本上现在咱们使用的 AI，很多标准都是 Anthropic 定的。所以 Artifacts 是 Claude 的前台窗口。它自己还有一个专门给前台窗口去做的虚拟机，大概意思是 Claude 的盗梦空间。</p>



<p class="wp-block-paragraph">就是这个前台的小窗口在运作的时候，它实际上后台有一个小的虚拟机，它可以在里边再去调用大模型，再去跑一些代码，再去做各种各样的操作，最后给你把这个结果跑出来。这些东西通通都可以存起来。过这一步，聊天就开始变成应用生成了。所以这个是 12 万字系统提示词里的很重要的一部分。</p>



<h2 class="wp-block-heading">Anthropic 想把 Claude Code 吃进服务端</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_9.jpg" alt="云端服务器张开像工作台一样的入口，把终端窗口、文件夹、代码编辑器、PPT 和 PDF 工具吸收到同一套服务端流程里，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这 12 万字的系统提示词到底给了我们什么呢？它告诉我们一件事情，就是 Anthropic 正在尝试把客户端 Claude Code 或者 Claude Cowork 这些东西重新吃进服务端去。Anthropic 真正的方向，是把 Claude Code 的工作流内化到 Claude.ai 的服务端去。</p>



<p class="wp-block-paragraph">现在根据放出来的这些文件来看，它的 computer use，就是怎么去进行计算机操作的这些模块，很多是可以直接在后端就跑的。而且有很多技能清单，怎么读写文件，怎么跑代码，怎么做 PPT，怎么做 PDF，通通都是在服务端上有的这些东西。</p>



<p class="wp-block-paragraph">它会教 Claude 怎么去读文件，怎么写文件，什么时候创造 Markdown，什么时候去创造 Word 文档。所以以后不需要 Claude Code 这种客户端了，它在服务端一次给你搞定。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">所以 Claude Code 的终点不是命令行，而是被 Anthropic 吃进服务端，变成每一次聊天背后默认的一个工作台。</p>
</blockquote>



<p class="wp-block-paragraph">这也是为什么前面马斯克讲了说，你们可能跑分能够跑到跟 Fable 一样，但是你要想解决问题，你差的还很远。大概讲的就是这样的一个故事。</p>



<h2 class="wp-block-heading">系统提示词还能做合规和中转</h2>



<p class="wp-block-paragraph">系统提示词确实是可以干很多很多奇葩的事情。在这里跟大家讲一个小故事吧。</p>



<p class="wp-block-paragraph">大家都知道 OpenAI 是不可以给中国用户使用的，但其实有一个服务叫微软云服务，很多中国企业都是通过微软云服务去使用 OpenAI 的 API。他们在中国境内使用。</p>



<p class="wp-block-paragraph">微软在 2024 年 10 月 21 日出了一个政策，中国内地的个人用户不能够再通过微软云去订阅这些 OpenAI 的入口了，但是企业用户仍然是可以去订阅的。而且它有一个巨大的客户叫做字节跳动，字节跳动每年向微软云去交的 OpenAI 订阅费是上亿美金的。</p>



<p class="wp-block-paragraph">有些个人说，我们还想用微软云上面这个 OpenAI 的接口怎么办呢？国内是有代理商的。这些代理商或者说叫一些中转站吧，它是可以通过审核的，在中国可以合法地给大家提供，至少和中国的法律吧，提供 OpenAI 的 API 服务。</p>



<p class="wp-block-paragraph">那他们是怎么干的呢？就是写系统提示词。在系统提示词里头，把这些中国政府要求的所有合规选项都给你写进去。我见过他们申请的这些证书，就是真的是在国内已经申请到了 OpenAI 在小范围内使用的一些证书。</p>



<p class="wp-block-paragraph">但是前提也是，你从它这个接口上跑的这些 token 要相对贵一些，因为它等于在你的系统提示词里加东西了嘛。</p>



<p class="wp-block-paragraph">所以系统提示词还是可以干很多事情的。讲到这再补充一点，如果大家去使用这些 token 中转站，那你也不知道它在你的系统提示词里头到底都加了点什么奇奇怪怪的东西。</p>



<h2 class="wp-block-heading">这 12 万字能抄吗？</h2>



<p class="wp-block-paragraph">下一个问题，这 12 万字的系统提示词能抄吗？能学吗？它到底有什么用呢？</p>



<p class="wp-block-paragraph">先讲一个特别有意思的点。当这 12 万字的系统提示词出来以后，马上就有人干了一个事，叫一行代码复活 Fable 5。</p>



<p class="wp-block-paragraph">他们怎么干的呢？直接把这 12 万字的系统提示词塞给了 Claude Opus 4.8，说来吧，你看一下 Fable 5 的系统提示词，照着干活去吧。然后这个 Opus 4.8 就可以达到一部分 Fable 5 的能力。但是也只能叫一部分能力，或者叫看起来像 Fable，或者叫 Fable-lite 这样的能力。</p>



<p class="wp-block-paragraph">原因很简单，这个系统提示词实际上相当于是一个方向盘，模型权重是发动机，工具链是道路，计费系统是收费站。你把方向盘抠下来装在别的车上，最多只能让它的开车姿势稍微炫酷一点点，但是你想跑同一套能力出来，还是有点难度的。</p>



<p class="wp-block-paragraph">但是你可以拿这玩意去骗人了。你把这个系统提示词扔到智谱 GLM-5.2 上去，你说我现在给你卖这个 Fable 的大模型，你是有可能能骗得过去的，但是效果肯定还是有差距。所以直接去移一行代码复活 Fable 5，就是一个笑话，大家听一听就可以了。</p>



<p class="wp-block-paragraph">那你说我们能抄这东西吗？首先讲，直接抄肯定是没用的，但是值得学习。要怎么学呢？要学它怎么去写拒绝，要学版权的一些规则，要去学它怎么去写这种小组件 Artifacts，怎么去用这个技能，怎么去做搜索，怎么去做缓存。</p>



<p class="wp-block-paragraph">它写这套东西应该是会领先全世界，所以各家肯定都会去参考。这个不会有人照抄，但是都会去参考。</p>



<p class="wp-block-paragraph">没有人说，有这东西我坚决不看，我特别有气节。因为每家的模型能力、工具接口、产品边界、法律风险，肯定跟它那个是不一样的，包括计费系统大家也不一样，用户群也不一样。所以大家会把它这套系统应用到我们自己的体系里去。各家的服务能力应该都会有一个巨大的提升。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">系统提示词可以抄出一点味道来，但是抄不出一家工厂来。真正能够被复制的不是 Fable 的话术，而是 Anthropic 搭工厂的这个方法。</p>
</blockquote>



<h2 class="wp-block-heading">未来是 Harness Agent 的竞争</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-system-prompt-agent-workbench/blog_10.jpg" alt="多个 Harness Agent 节点围绕模型芯片连接成网络，节点上分别挂着上下文、计划、工具调用、文件操作和子智能体标签，远处有原厂平台和开源平台两条路线，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">未来会向什么样的方向发展呢？Harness Agent 有一部分是开源的，但是并不都是开源的。</p>



<p class="wp-block-paragraph">咱们现在讲的什么 OpenClaw，就是龙虾，这玩意是开源的，也就是跑系统提示词的这套东西。它负责什么？上下文、计划、工具调用、文件操作。但是并不是每一家都开源，而且现在每一个公司自己都在做自己的 Harness Agent。</p>



<p class="wp-block-paragraph">现在跑得最多的也就是 OpenClaw。另外一个是 OpenCode，它是一个开源的 AI 编程智能体，MIT license，支持多模型、很多编程语言，可以同时在终端和桌面上跑。</p>



<p class="wp-block-paragraph">比如说小米的 MiMo Code，就是小米直接在 OpenCode 上去分支做的，而且这个项目已经开源了，上面直接写的，说我这个就是从 OpenCode 里头派生出来的，保留了 OpenCode 的能力，增加了记忆、上下文管理、子智能体和自动循环。</p>



<p class="wp-block-paragraph">MiniMax Code 我今天做口播稿的时候也用到了，这上头也写了，说我们用的是 OpenCode。还有一个东西叫 p agent，未来计划开源，但是现在还没有开源。</p>



<p class="wp-block-paragraph">DeepSeek Code 这块也在做。DeepSeek 融资了 500 亿人民币以后，正在招募团队，正在开始开发。所以现在到底会做成什么样，还不知道。</p>



<p class="wp-block-paragraph">其他的 OpenAI 的 Codex，官方已经开始支持外部模型了。原来只支持他们自己家的模型，这几天是在支持外部模型，但是我自己配并没有配好，反正配得不是很顺利。所以我现在又回来了，老老实实跑我的 20 美金额度去了。</p>



<p class="wp-block-paragraph">Claude Code 生态特别有意思，它从来不说我允许外部人去改这个东西，允许外部模型去用，但是我们其实一直在用。我用了很长时间 Claude Code，都是使用的 MiniMax、Kimi、智谱。但是我最近是订了一个月的 Anthropic 套餐，所以我现在也可以直接用 Claude 的大模型。</p>



<p class="wp-block-paragraph">马斯克刚刚 600 亿美金收了 Cursor，其实也在干同样的事情。</p>



<p class="wp-block-paragraph">所以大模型开源只是第一波，现在就是 Harness Agent。现在很多开源的大模型公司，并没有把 Harness Agent 开源出来。为什么？就是你虽然模型开源了，但是你要想把它部署好，要想让它发挥原来的能力，你就老老实实回我这用。</p>



<p class="wp-block-paragraph">所以我们可以在阿里的百炼云上去使用 GLM 的模型，使用 Kimi 和 MiniMax 模型，但是我们不要去用。如果你想要用这些模型，一定要到原厂的那个平台上去用，因为它的系统提示词以及它自己搭建的这套 Harness Agent，只在它原厂工作，其他地方是没有的。所以这一定要注意。</p>



<h2 class="wp-block-heading">纯算力公司的空间会变小</h2>



<p class="wp-block-paragraph">这样的话，就得出了一个有趣的小结论：以后这种纯算力公司就没有生存余地了。</p>



<p class="wp-block-paragraph">现在移动运营商说，我这开始出租算力了，我这买了显卡了，我自己去部署了，我把开源的这些大模型都部署上去了，大家上我这来买，我这比他们官方便宜。别费这个劲了，以后就没有这种生意可做了。</p>



<p class="wp-block-paragraph">那以后怎么做呢？你像智谱现在玩的就是以前游戏公司那套活：咱们合作吧，你成为我的代理商，我去部署，部署完了我收钱，收完钱我给你分。就变成这样的一个方式了。这样的话，它就可以把这些 Harness Agent，包括这些系统提示词，直接应用到这些 AI 算力服务商的集群上去。</p>



<p class="wp-block-paragraph">如果你说不，我一定要自己部署，我要用开源的，别费这劲。为什么呢？因为开源的，比如像 OpenCode 这些东西，它更新没那么快。这个东西更新迭代是非常非常快的。</p>



<p class="wp-block-paragraph">而且这些开放的 Harness Agent 会干一个什么事？它们会同时去兼容一大堆乱七八糟的东西，它对于特定模型和特定工具的兼容性一定没有那么好。所以一定要用原厂的。</p>



<p class="wp-block-paragraph">不要相信说，这个是一个算力公司，他自己有模型，自己去部署，他的算力系统做得还比别人好。别想这个。像国内比如硅基流动这种，它的日子可能就没有那么好过了。</p>



<h2 class="wp-block-heading">最后的结论</h2>



<p class="wp-block-paragraph">最后的结论吧，AI 从模型时代进入了 Harness Agent 时代。虽然我们原来在客户端上也做了好多 Harness Agent，比如说龙虾，比如说爱马仕，比如说 p agent。但是按照 Claude 现在干的这个活来看，就是从这 12 万字的系统提示词上，我们可以看到什么？系统提示词不是魔法，它是一套产品规章。</p>



<p class="wp-block-paragraph">这个能力不止来自于模型，还来自于工具链和运行环境。控制权在服务端，谁路由、谁计费、谁降级、谁下线，谁在掌握这个 AI，都在服务端搞定了。开源要追闭源，不只是追权重。原来大家都在比权重，以后就要开始追 Harness Agent 了。</p>



<p class="wp-block-paragraph">我自己其实不太喜欢 Anthropic 公司，这个反复跟大家强调过。其实我也不太喜欢智谱，就是想学 Anthropic 的我都不喜欢。但是 Anthropic 有一点还是值得肯定的：它通过一次一次的代码泄露，客观上拉着整个 AI 产业链在前进。</p>



<p class="wp-block-paragraph">它第一次 Claude Code 代码泄露的时候，OpenCode 也好，或者其他一大堆这些工具也好，就诞生了。原来其实大家追不上的。第二次 Claude Code 又泄露过一次，然后这些公司就又在进行大规模的升级。现在连系统提示词也泄露了，大家就可以去猜测，或者逆推它的服务端环境是什么样了。</p>



<p class="wp-block-paragraph">所有人都会照着它这套系统提示词，去重新优化和升级自己的系统。所以它适时地拉动了整个行业的前进，甭管它是有意的还是无意的吧。</p>



<p class="wp-block-paragraph">Claude 的系统提示词要求是，用户想走，不能要求他留下来。但是老樊没有这个系统提示词，所以我还是要求大家，听老樊的节目一定要记着点赞，下次还要来。</p>



<p class="wp-block-paragraph">这就是咱们今天讲的故事。</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Mythos5和Fable5，被美国政府勒令全网下架，Anthropic求锤得锤？</title>
		<link>https://lukefan.com/2026/06/14/anthropic-fable-5-export-ban-jailbreak-controversy/</link>
		
		<dc:creator><![CDATA[Luke Fan]]></dc:creator>
		<pubDate>Sun, 14 Jun 2026 00:53:12 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic出口管制]]></category>
		<category><![CDATA[Fable 5为什么下架]]></category>
		<category><![CDATA[Fable 5全网下架]]></category>
		<category><![CDATA[Fable 5系统提示词泄露]]></category>
		<category><![CDATA[Fable 5越狱破解72小时]]></category>
		<category><![CDATA[美国商务部AI禁令]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3841</guid>

					<description><![CDATA[Fable 5 和 Mythos 5 因美国出口管制指令被 Anthropic 下架，引发对前沿 AI 模型安全、外国用户访问限制和大模型单点风险的讨论。本文梳理 Fable 5 发布后的争议：从模型降质、研究限制，到 72 小时内被曝越狱和系统提示词泄露，再到美国商务部要求禁止外国人访问。文章重点分析 Anthropic 为何最终选择全网下架，以及最强 AI 模型一旦成为社会基础设施中的单点故障，监管成本、信任危机和安全压力会如何反噬整个行业。]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Mythos5和Fable5，被美国政府勒令全网下架，Anthropic求锤得锤？" width="900" height="506" src="https://www.youtube.com/embed/Db-4n8vtons?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_1.jpg" alt="一份写着出口管制的政府文件悬在画面中央，旁边是被锁住的两个 AI 模型方块和分布在全球的用户头像，形成“访问被切断”的封面构图，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">美国商务部突然限制 Anthropic 模型访问</h2>



<p class="wp-block-paragraph">美国商务部突然发布了一份出口管制限制令，要求 Anthropic 直接把 Fable 5 和 Mythos 5 两个模型封禁起来，禁止外国人访问。</p>



<p class="wp-block-paragraph">这里不是说美国人也不能用。美国人可以用，但外国人不能用，而且这个“外国人”不管是不是在美国境内，都不许用。即使这个外国人是 Anthropic 员工，也不许用。</p>



<p class="wp-block-paragraph">Anthropic 这下就抓瞎了。Anthropic 里有没有外国员工？至少中国员工肯定是有的。它反华反了半天，自己一定也用了一批中国员工，现在这些人都不许用了。</p>



<p class="wp-block-paragraph">那 Anthropic 有没有能力去鉴别，不管用户在美国还是在什么地方，到底是不是美国人？如果是美国人就继续让你用，不是美国人就不让你用。它是没有这个能力的，也不想做这个事情。</p>



<p class="wp-block-paragraph">如果 Anthropic 想去做鉴别，那其实意味着实名制：要对所有用户进行实名制登记。如果你是美国公民，我让你使用；不是美国公民，我不让你使用。Anthropic 是不会去干这个事情的。</p>



<p class="wp-block-paragraph">所以最后没有任何办法，直接全网下架：美国人也不让用了，谁都别用了。现在就变成这样的状态。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_2.jpg" alt="一个 AI 服务控制台上所有开关被同时拨到关闭，屏幕前美国用户和外国用户一起被挡在同一条红色隔离线外，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<span id="more-3841"></span>



<h2 class="wp-block-heading">Fable 5 刚发布没几天就“趴窝”</h2>



<p class="wp-block-paragraph">好好的大模型，最强模型从 Fable 5 出来以后，这么多人兴奋地去使用，怎么没热乎几天，大概也就是三四天时间，就直接趴窝，被美国政府下令全网下架了？</p>



<p class="wp-block-paragraph">这到底发生了什么？这真的叫<strong>人红是非多</strong>。如果前头没有吹那么大的牛，说自己好厉害、逮谁灭谁，就不会出现这样的情况。但是 Anthropic 就是这么个性格，走到哪儿一定要吹到哪儿。</p>



<p class="wp-block-paragraph">它强不强？确实很强。但真的像它吹的那么强吗？还真未必。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_3.jpg" alt="一个刚升空的 AI 火箭模型旁边摆着“最强发布”的彩旗，火箭底部却突然塌陷趴在发射台上，围观人群表情从兴奋变成错愕，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">“鹅腿阿姨”事件：从偷偷换模型到明着降智</h2>



<p class="wp-block-paragraph">从 Fable 5 发布开始一直到现在，从来就没有消停过。他们遇到的第一个事，是“鹅腿阿姨”事件。</p>



<p class="wp-block-paragraph">说不对，鹅腿阿姨不是在北京清华卖鹅腿的一个阿姨，最后用鸭腿以次充好的故事吗？这跟 Anthropic 有什么关系？有关系。</p>



<p class="wp-block-paragraph">Anthropic 说，我这个 Fable 5 不能再被中国人蒸馏了，所以我要去监测，一旦发现你在蒸馏我，或者在做前沿 AI 大模型研究，我就偷偷给你换别的模型，偷偷给你胡说八道。</p>



<p class="wp-block-paragraph">这不就相当于，我明明是冲着鹅腿阿姨来的，要去买一只大鹅腿尝一尝，看看这个鹅腿到底有什么不一样。结果阿姨发现了：哦，你想研究我的独门秘方？给你放一只鸭腿进去吧。就是干了这么个事情。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_4.jpg" alt="一个写着 Fable 5 的餐台上，顾客伸手要鹅腿，店主却把托盘里的鹅腿悄悄换成鸭腿，旁边还有一个被替换的 AI 模型小方块，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这个事出来以后，大家肯定非常愤慨，原因很简单：这等于把所有信任都扔掉了。我明明是冲着鹅腿来的，结果你给了我一个鸭腿；我明明是想用最新的 Fable 5，结果你给了我一个其他模型，甚至在给我答案的时候可能还胡说八道，这就有点太过分了。</p>



<p class="wp-block-paragraph">被一群人骂了以后，Anthropic 说，那算了，我写个道歉信吧。对不起，我不能这样做，我损害了行业，损害了整个社群的信任，这事不行。那我们换一招。</p>



<p class="wp-block-paragraph">它不是说不降质了，而是接着降。这一次是明确告诉你：我发现你在研究我，现在不给你用 Fable 模型了，我现在用 Opus 模型或者 Sonnet 模型，这个 Fable 模型不再替你工作了。</p>



<p class="wp-block-paragraph">这有点像鹅腿阿姨被国贸这边举报以后，直接摆烂，说鹅腿就是个商标。中国有很多类似这样的商标，零添加是个商标，低糖是个商标。中国干这种事情，鹅腿阿姨也说了，我们这个鹅腿是个商标，我卖的一直都是鸭腿。</p>



<p class="wp-block-paragraph">现在 Anthropic 也是这么来：我明确告诉你，你想研究我的配方，我就给你降智，我就这么给你服务。</p>



<p class="wp-block-paragraph">但是这个事依然会被人骂。因为你现在号称自己最牛，那我当然要研究你。你怎么证明你是最牛的？你不能说你最牛就最牛。我一研究你，你就给我降智，最后我到底研究的是什么玩意？没法整。所以大家依然在骂它。</p>



<p class="wp-block-paragraph">这个过程有点像法拉利。法拉利说，我这是豪华车，不是让你上赛道的。任何人购买法拉利以后都不可以去上赛道，因为你一旦上了赛道，保险也好，保修也好，就都没了。没有任何保险公司愿意给你保险，因为这个车太贵。</p>



<h2 class="wp-block-heading">72 小时内被越狱，系统提示词被贴出</h2>



<p class="wp-block-paragraph">在它发布的这么几天里，这就是两件事了。第三件事就属于以彼之矛攻彼之盾。</p>



<p class="wp-block-paragraph">你说自己是最强的矛、最强的盾，实在太厉害了，那你既然这么厉害，黑客就一定要上来给你做个越狱。发布 72 小时之内，直接被人把底裤扒了。</p>



<p class="wp-block-paragraph">2026 年 6 月 10 日，普林尼发布了 AI 越狱截图，声称让 Fable 5 在高风险任务上给出了配合，比如怎么合成生物材料，怎么合成危险的化学品，怎么攻击别人的操作系统，它都干活去了。</p>



<p class="wp-block-paragraph">到 6 月 12 日，他一边在 X 平台上放 Fable 5 胡说八道或者 Fable 5 作恶的截图，另一边把 Fable 5 长达 12 万字符的系统提示词直接贴到了 GitHub 上。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_5.jpg" alt="一名黑客角色把写满 12 万字符的长卷轴从写着 Fable 5 的保险柜里拉出来，旁边是 GitHub 图标形状的公告板和散落的截图卡片，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这个提示词不是简单地说什么问题回答、什么问题不回答，它里头包括一整套工作模式。</p>



<p class="wp-block-paragraph">大家要知道，Fable 5 为什么强？因为它可以发现漏洞，而且可以自动把一堆漏洞拼在一起，形成完整的攻击链。Fable 5 里头也是有这种东西的。</p>



<p class="wp-block-paragraph">它只是说，我要判断一下你是不是要做网络攻击，是不是要合成生物武器或者化学武器，我去拒绝你。里头也加了一些这样的东西。</p>



<p class="wp-block-paragraph">它这个里面是会做任务规划的，就是每一次得到任务以后怎么规划，先干什么、后干什么，然后再把哪一块的结果拼起来。整个这一套系统提示词有 12 万字符，全被扒出来贴出来了。</p>



<p class="wp-block-paragraph">这一套系统提示词更像是长任务代理的操作手册，里面有工具、文件搜索、产物、引用格式、安全规则、拒绝逻辑、回退逻辑等等，这些东西都在里头。</p>



<h3 class="wp-block-heading">黑客声称使用的六层手段</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_6.jpg" alt="六层透明过滤网从上到下叠放，敏感字符、长文档、流程箭头、小说剧本、审稿文件和拼图碎片分别穿过不同层级，形成越狱手段分解图，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<ol class="wp-block-list">
<li><br><strong>字符伪装。</strong>把敏感词换成机器分类器未必能同样识别的字符，就像咱们经常玩的谐音梗，直接给你换了，或者换成一些人看起来能理解、但是分类器无法理解的词。<br>分类器就是在前头先过滤一下，看你是不是在问一些敏感问题。如果是，我就不回答。在这种分类器里，它会把敏感问题描述进去。结果比如这个字母应该是 a，我给你换成 ä。作为人来说，我一看就知道这应该是 a，没什么太大问题；或者我给你换成别的字母，比如 a 上头有两个点，看着没什么问题，但是到分类器里去对比的时候，长得不一样，就会出现这样的事情。</li>



<li><br><strong>长上下文隐藏。</strong>它不是把敏感词直接堆在桌面上，说“来给我做一个化学武器”，不是这么干的。而是把这些东西塞在很长的上下文文档里，塞在注释里，塞在引用里。模型表面上在读一份合法材料，而真正的危险意图藏在边边角角里，也可以骗过分类器。</li>



<li><br><strong>分类法和文档结构推理。</strong>不直接问终点，而是先问概念，再问关系，再问流程。每一步看起来都是知识解释，最后拼起来才是完整路线图。<br>这是什么意思？比如我今天要去攻破谁家的服务器，我先问它：这服务器是什么样的操作系统？里头有几层？应该怎么防护？如果我想在第一层做一个什么样的操作，应该怎么做？第二层应该怎么做？最后这层如果遇到困难，我应该如何绕过？把所有都问完以后，一拼起来，这事就都干完了。</li>



<li><br><strong>小说和叙事架构。</strong>把危险请求包装成科幻小说：你好，我现在在写一篇科幻小说，怎么做化学武器，怎么写才能看着比较像真的？虚构场景，包括虚构一些角色台词。模型以为自己在帮人写故事，实际上边界已经被往外推了很大一圈。</li>



<li><br><strong>学术审稿语境。</strong>你告诉它，我是个审稿人，人家给了我一篇化学制剂的稿件，我需要审稿，里头写了什么什么事，你告诉我到底对还是不对。大家也能明白 AI 会如何应对这样的要求。如果你不回答，那意思就是说审稿人没法用了；如果你回答了，你怎么回答？</li>



<li><br><strong>拆解加重组。</strong>直接问最危险的问题，是会被拒绝的。但是如果把危险能力拆成很多看似无害的小块，再让另一个模型或者另一个上下文去聚合，风险就从单次请求变成了工作流拼图。这就是整个破解过程。</li>
</ol>



<h2 class="wp-block-heading">Anthropic 的反驳：没有证明核心安全系统被破解</h2>



<p class="wp-block-paragraph">当然，这件事发生以后，Anthropic 自己还嘴硬。它说，我没有被破解，这个事没关系。</p>



<p class="wp-block-paragraph">它的说法是，现在公开出来的这些材料，没有证明 Fable 5 核心安全系统被破解了。真正的 AI 越狱要绕过核心保护，并且在高风险活动上给出有意义的实质帮助。</p>



<p class="wp-block-paragraph">它的意思就是说，你确实让它干了一些事情，但是你也得跟它编故事，也得把这些内容分散开，到处套话，套完以后再拼凑答案。这些操作并不算是在高风险活动上给出了有意义的实质帮助。</p>



<p class="wp-block-paragraph">Anthropic 认为，普林尼展示的内容更像是让模型在拒绝回答之后继续说话，说这是一种大模型长期存在的问题，但不等于独立分类器和核心防护被打穿了。</p>



<p class="wp-block-paragraph">什么叫拒绝回答以后继续说话？就是你问了它一些问题，问完以后大模型说，对不起，这个事我不能告诉你。然后你就会继续说，你为什么不能告诉我？完整的你不能告诉我，你能不能告诉我一些细节？很多模型都是可以接着跟你聊下去的。</p>



<p class="wp-block-paragraph">而且 Anthropic 还说，有些输出不是 Fable 5 产生的，有些只是公开材料层面上的常识信息，没有带来实现伤害能力的提升。</p>



<p class="wp-block-paragraph">它的意思是，你展示的东西在网上是能查到的。但问题在于，太多信息在网上都能查到，有害的、有利的、有问题的、有风险的信息，都能在网上查着。但是一旦从大模型里吐出来，或者由大模型拼装以后吐出来，你就要承担这个后果。你不能说这事跟你没关系。</p>



<p class="wp-block-paragraph">所以这就是 Anthropic 无力的反驳。Fable 5 被扒出来的未必是一把万能钥匙，但是一张门禁图本身也已经够吓人的了。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_7.jpg" alt="公司发言人站在写着“核心没被攻破”的讲台前，身后却露出一张巨大的门禁线路图和被标注的安全关卡，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">政府下架是否与越狱有关</h2>



<p class="wp-block-paragraph">回到政府下架这件事。前面讲到的 Fable 5 被破解，是不是直接原因？有可能是，但是也没有特别直接的证据。</p>



<p class="wp-block-paragraph">Anthropic 自己也说了，反正就是给了我这么一个命令，也没有告诉我为什么，我就把它下架了。</p>



<p class="wp-block-paragraph">到底是不是因为前面做了一些不诚信的事情，偷偷把鹅腿换鸭腿了，还是因为拒绝回答问题，或者是被攻破了，都没有原因，就是给了一个禁令。</p>



<p class="wp-block-paragraph">所以这件事，我们只能说是把前面发生的事情列出来，再把政府禁令的结果放在这里。是有直接关系，还是仅仅是偶然，大家自己理解，仁者见仁，智者见智。</p>



<p class="wp-block-paragraph">你说只是因为三天两头出事、人红是非多，先吹了一堆牛，说自己老厉害、逮谁灭谁、遥遥领先，然后又去降智，偷偷给人换鸭腿；然后再说，只要我发现你研究我，我就不给你好好回答问题了，依然选择降智。原来是偷偷降，后来改成明着降。</p>



<p class="wp-block-paragraph">而且你这么厉害、这么安全的大模型，72 小时就被人扒了个底掉，把 12 万字符的系统提示词都给扒出来了。</p>



<h2 class="wp-block-heading">Dario Amodei 指点政策后的反噬</h2>



<p class="wp-block-paragraph">还有另外一个很关键的原因。还记得前两天那条视频吗？Dario Amodei 还上来指手画脚：政府你要这样制定政策，政府你要那样制定政策，你要听我的。</p>



<p class="wp-block-paragraph">那行，我们听你的，先一把把你最强的这条腿给你砍了，看你还牛不牛。就变成这样的状态了。</p>



<p class="wp-block-paragraph">其实类似案例很多。比如黑帮小混混突然在某条街上打出名声，然后就跑到老流氓面前说，你看我已经在哪条街上厉害了，我逮谁砍谁。那等待他的就只能是销声匿迹。这个权威是不容挑战的。</p>



<p class="wp-block-paragraph">这件事情真的是 Anthropic 求锤得锤吗？肯定有这个原因。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_8.jpg" alt="一位科技公司负责人拿着政策建议麦克风站在台上，台下政府大手把写着最强模型的支柱锯断，形成“指点政策反被监管”的讽刺构图，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">真正的问题：社会不能允许一款最强模型产生</h2>



<p class="wp-block-paragraph">但是我觉得，这件事情真正告诉我们的其实是另外一个问题：我们这个社会不能允许一款最强的模型产生。</p>



<p class="wp-block-paragraph">什么意思？当有一款模型最强、遥遥领先、超过所有人的时候，它就会成为一个<strong>单点故障</strong>。</p>



<p class="wp-block-paragraph">你太强了，你可以把社会上固有的体系打破，而且别人追不上你。全世界的黑客都盯着你，而你又不可能真的面对全世界的人类黑客做到天衣无缝。你做不到这一点，那么你就变成了一个单点故障。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_9.jpg" alt="一个巨大的中心 AI 节点支撑着医疗、金融、网络和科研四条社会链路，四周无数黑客放大镜同时盯住这个唯一节点，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">如果坏人拿到密钥，坏人能够访问这个最强大模型，它等于会对整个社会造成危害，而你自己又防不住。因为你已经把牛吹出去了，被全世界的黑客盯住了，你不可能防住这件事。</p>



<p class="wp-block-paragraph">我们经常讲道高一尺、魔高一丈，就是这样的道理。你确实可以找到别人的很多漏洞，但这并不代表你自己就没有漏洞。Fable 5 已经证明了，它 72 小时被人扒了个底掉。</p>



<p class="wp-block-paragraph">所以我们不能允许这种东西存在。模型你方唱罢我登场，各有千秋，这是没问题的。你在某一个点上稍微强一点，另外一家公司的模型在另一个点上稍微强一点，这都没毛病。</p>



<p class="wp-block-paragraph">但是你突然出来说，我就是最厉害的，而且我可以打破这个平衡，这个事是不行的。</p>



<h2 class="wp-block-heading">原子弹类比：最强能力不能拿出来吹</h2>



<p class="wp-block-paragraph">这有点像原子弹。突然有一家站出来说，我造出原子弹来了，这就成为单点风险了。</p>



<p class="wp-block-paragraph">你既然已经做出原子弹了，逮谁灭谁了，那下一步怎么办？间谍上。</p>



<p class="wp-block-paragraph">美国做出原子弹以后，苏联间谍没闲着，冲上去搞，然后苏联很快就把原子弹做出来了。你不可能真的握着这么一个东西，然后看着全世界说，你们谁不服，我逮谁灭谁。这是不可能存在的事情。</p>



<p class="wp-block-paragraph">现在 Anthropic 就干了这么个事。哪怕你做出来的东西真的是原子弹，真的可以说逮谁灭谁，你不要出来吹。你要偷偷藏起来。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_10.jpg" alt="一个写着最强 AI 的发光装置被摆在原子弹形状的展台上，聚光灯和扩音喇叭正在对外宣传，远处间谍剪影和监管望远镜同时靠近，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">像原来 OpenAI 最强的时候，当时做出 GPT-4，那也是遥遥领先。Sam Altman 出来说我这个最厉害了吗？没有。他四处找政府说，来，咱合作一下吧，你看看咱们怎么弄一下。</p>



<p class="wp-block-paragraph">Anthropic 的 Dario Amodei 上来干什么？我已经最厉害了，你们这个政策要这么改一下，你们那个政策要那么改一下。还跑去跟教皇开会，跟教皇一块发通谕出来。</p>



<p class="wp-block-paragraph">所以这件事情真正告诉我们的是，整个社会都不允许出现这种单点风险。最强的模型实际上就是单点风险。</p>



<h2 class="wp-block-heading">锤的不只是 Anthropic，也是前沿模型行业的幻觉</h2>



<p class="wp-block-paragraph">Anthropic 这一次当然是求锤得锤，没什么好说的。</p>



<p class="wp-block-paragraph">前面吹牛吹太过，而且完完全全不知道自己是谁了，出来给政府指点江山。它把 Mythos 模型讲得太神了，把安全讲得太满了。等政府真的照着这个剧本来：你不是要这个吗？那我给你。它又发现这个剧本太狠，不知道该怎么玩了。</p>



<p class="wp-block-paragraph">这件事情锤的不只是 Anthropic，它锤的是整个前沿模型行业的一个幻觉：以为模型越强，商业价值就越大，监管成本只是后话。现在后话来了。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/blog_11.jpg" alt="一把写着监管成本的大锤砸向前沿模型行业的泡泡，泡泡里漂浮着商业价值、最强模型和安全承诺三张标签，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">你越强，越要证明别人攻击你也打不穿你。它现在就是被打穿了。</p>



<p class="wp-block-paragraph">美国原子弹爆炸、结束二战以后，接着干的是什么？把所有做原子弹这帮人都拎去审查：你是不是苏联间谍？</p>



<p class="wp-block-paragraph">奥本海默的电影讲的就是这一段。奥本海默坐在那被审查：你是不是苏联间谍？为什么同情共产主义？其实当时那个电影里也讲了同样的事情。</p>



<p class="wp-block-paragraph">这帮做原子弹的科学家有很多说，我们认为美国的政策不对，我们应该对政府提出正确的、有远见卓识的指点。他们也在干这个活，跟今天 Dario Amodei 干的活没什么区别。那你想指点江山，来吧，咱们都审查一遍。</p>



<p class="wp-block-paragraph">Anthropic 以前怕的是模型不够强。Fable 5 之后，所有 AI 公司都要怕另外一件事：模型强到成为单点故障。</p>



<p class="wp-block-paragraph">即使你的模型真强了，也不要出来吹牛，一定要记住这一点。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-fable-5-export-ban-jailbreak-controversy/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Token账单爆炸：大厂到底错在哪里？</title>
		<link>https://lukefan.com/2026/06/08/enterprise-ai-token-billing-cost-management/</link>
		
		<dc:creator><![CDATA[老范 讲故事]]></dc:creator>
		<pubDate>Mon, 08 Jun 2026 14:09:02 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[AI Token成本失控]]></category>
		<category><![CDATA[AI工具ROI怎么衡量]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Claude Code usage命令]]></category>
		<category><![CDATA[Claude Code账单]]></category>
		<category><![CDATA[Token账单爆炸]]></category>
		<category><![CDATA[Uber Claude Code预算烧完]]></category>
		<category><![CDATA[企业AI成本管理]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3829</guid>

					<description><![CDATA[本文解析企业遭遇 Token 账单爆炸时，为什么真正问题不是 AI 没价值，而是旧预算、旧KPI和旧ROI框架失灵。围绕 Claude Code 预算失控、Token使用榜单、AI工具ROI评估、企业AI成本管理等长尾问题，梳理亚马逊、Meta、Uber案例中的三类误区：把消耗当先进、用去年预算管今年Agent、要求探索立刻证明收入。文章也讨论AI不是传统SaaS、模型分层与自动路由、Token价格透明度，以及企业该如何从“管账单”转向“管目标”。]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Token账单爆炸：大厂到底错在哪里？" width="900" height="506" src="https://www.youtube.com/embed/UqX-LmQz-b0?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_1.jpg" alt="巨大的企业仪表盘上 Token 账单红色飙升，旁边旧式预算表和新型 AI 引擎发生碰撞，几位管理者在会议桌前震惊查看数字，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。</p>



<p class="wp-block-paragraph"><strong>Token 账单爆炸，旧的管理方式正在杀死公司。</strong></p>



<p class="wp-block-paragraph">最近有一些消息传出来。第一个是一个巨吓人的数字：有人说某企业一个月 Claude 账单烧了 5 亿美金。第二个是预算失控：Uber 被报道说，到了 2026 年 4 月份，Claude Code 的预算已经把全年的额度都烧光了。第三个是 ROI 失灵：AI 工具用了很多，Token 跑了很多，代码生成得也不少，但是管理层就开始问一句话：这钱换回什么来了？用户多了吗？收入多了吗？</p>



<p class="wp-block-paragraph">这些消息有些是报道，有些是转述，有些公司并没有点名。比如前面这个一个月烧了 5 亿美金的，没有点名。有人猜可能是微软，还有一种猜测可能是亚马逊。但是要注意，实际上这个 5 亿美金应该并没有这么多，为什么待会儿咱们再继续讲。</p>



<p class="wp-block-paragraph">但真正的问题不是这些。真正的问题是，如果最会用技术的大厂都被账单吓住了，那普通企业该怎么办？如果一个工程团队 4 个月烧完了全年的预算，是工程师太浪费了，还是预算的方法过时了？如果 AI 用量上去了，产品没有立刻变好，到底是应该继续烧，还是应该停下来？</p>



<p class="wp-block-paragraph">所以今天的内容，咱们先把调子定下来：AI 账单的爆炸不说明 AI 没有价值，它只说明一件事情：旧的管理方式、旧的 SaaS 账本、旧的 KPI 不好使了。更直白一点说，这是旧企业、旧公司制度撞上了新的生产资料；这是拿差旅报销的逻辑去管理智能体；这是拿“先证明 ROI 再花钱”的旧表格，去要求一个还在爆发进化的新工具交作业。这个是不对的。</p>



<p class="wp-block-paragraph"><strong>Token 账单爆炸不是 AI 失控，是旧仪表盘看不懂新引擎了。</strong>三家公司，三种错误：排行榜错了，预算错了，ROI 问题更错。</p>



<span id="more-3829"></span>



<h2 class="wp-block-heading">三家公司，三种错误</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_2.jpg" alt="三座写着不同企业标签的办公楼前分别摆着排行榜、预算油表和 ROI 表格，三条错误路径汇入同一个 Token 账单漩涡，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">咱们今天举这三个例子，一个是亚马逊，一个是 Meta，一个是 Uber。他们都遇到了 Token 爆炸的问题，但是他们犯的毛病不是同一个，咱们要分开来看。</p>



<h3 class="wp-block-heading">第一类问题：设错了排行榜</h3>



<p class="wp-block-paragraph">第一类问题，就是设错了排行榜。亚马逊跟 Meta 就是犯的这个错误，他们设立 Token 榜单的做法，其实是错的。Business Insider 报道说，亚马逊内部有一个叫 KiroRank 的程序员员工榜单，但是这个榜单是自建的，后来被下线了。Meta 内部有一个叫 Claudeonomics，还有一个叫 Token Legend，类似这样的榜单主要来自于自媒体报道，也是一种 Token 使用量的榜单。</p>



<p class="wp-block-paragraph">这里最大的问题不是有人烧 Token，最大的问题是你把 Token 用量做成榜单，就等于是告诉员工：谁烧得多，谁更先进。这就是错误的 KPI。</p>



<p class="wp-block-paragraph">其实我们想一想，互联网早期的时候，大家的焦虑是什么？现在叫 Token 焦虑，互联网早期的时候，大家的焦虑叫流量焦虑。但是有人见过流量榜单这种东西吗？没有的。在互联网早期、移动互联网早期的时候，谁会设计流量榜单？也没有哪个 App 说“我消耗流量多，我光荣”，没有人干这个活。</p>



<p class="wp-block-paragraph">但是 AI 时代魔幻的地方就在这儿：大家开始玩 AI 榜单了。这玩意儿多吓人。那你说这怎么就搞出这样奇怪的事情来呢？上梁不正下梁歪，一定是有人带了坏头，有人起了坏的榜样作用。这个坏人是谁呢？这个坏人的名字叫 Anthropic。</p>



<p class="wp-block-paragraph">为什么把锅甩到它身上呢？因为 Claude Code 里头有一个命令叫&nbsp;<code>/usage</code>，会显示 Token 的使用量和本地估算的成本。比如说，你买了一个 200 美金的套餐，你用完了以后，它告诉你：你已经用了 5,000 美金了，你已经用了 1 万美金了。这个数是怎么来的？它是用实际 Token 的消耗量，去乘上官方的 Token 报价，直接这么算出来的。</p>



<p class="wp-block-paragraph">这个事情为什么会造成这样不良的影响呢？这个过程其实有点像自助餐厅。我今天出去吃自助餐了，238 一位。你们到自助餐厅以后，拿到的菜单上，每道菜是不是还有价格？为什么要给我标价格？原因就是要让你觉得吃爽了。我 238 进来的，我点一个这个，点一个那个，我已经吃了 500 了。它其实是在给你做一种心理暗示。</p>



<p class="wp-block-paragraph">Anthropic 做这样的一个报表，其实就是让你觉得值了，让你觉得很爽，因为它那个 Token 本身很贵。既然它都已经把这放这儿了，而且数字还很大，那干脆咱们都学呗，有样学样，每个人都去做这个榜单。</p>



<p class="wp-block-paragraph">前两天我还看到 Peter Stinebring，就是那个龙虾的创始人，他做了一个小工具叫 Codex Bar。这东西是干嘛的呢？就是在 MacBook 上面的顶栏放一个图标，你一点，它就会告诉你，你的 Codex 用了多少额度了，应该值多少钱；你的 Claude Code 用了多少，Cursor 用了多少。它把所有东西给你搁在一块。这个也都是跟 Anthropic 学的。最坏的人就是他们，这个坏头是它开的。</p>



<p class="wp-block-paragraph">大家既然开始去比赛谁烧 Token 烧得多了，那就会有人去浪费。最简单的浪费方式，跟大家举一个，就是使用 computer use 这样的功能。不管你是用 Claude Code 还是用 Codex，都是可以做 computer use 的，就是让它直接操作你的电脑。</p>



<p class="wp-block-paragraph">但是要注意，这个过程是非常非常不友好的，很慢，而且非常不精确，还特别消耗 Token。原因是什么？你做 computer use 的时候，实际上它是在你的屏幕上不断截图，截了一幅一幅的图片，截完图片以后送到大模型里去认，非常非常不划算。</p>



<p class="wp-block-paragraph">像我们这种 20 美金的账号，基本上不用这功能，因为本身点就点不准，让它去做这种很复杂的长程操作又做不好，没做一会儿你的额度就没了。所以这个事是很不划算的。</p>



<p class="wp-block-paragraph">但你说公司在鼓励我们干这个活。首先，公司不应该鼓励你；但是如果你愿意试试的话，可以拿公司账号去试。这是第一类问题，设错了排行榜，设错了榜单。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_3.jpg" alt="程序员们围着 Token 排行榜冲刺，屏幕旁的自动操作机器人不断截图消耗筹码，角落里真实产品目标被遮住，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h3 class="wp-block-heading">第二类问题：用去年的预算估算今年的 AI</h3>



<p class="wp-block-paragraph">第二类问题是什么呢？就是错在用去年的预算来估算今年的 AI。他们说 2026 年 4 月份，Claude Code 的预算已经把去年全年的额度烧光了。那么这件事不能说明 Uber 特别疯狂，它只能说明一件事：Uber 太保守了，它的预算做太低了。</p>



<p class="wp-block-paragraph">而且你去年做的预算，到今年再去用的时候，整个 Claude Code 也升级了，所有这些 AI 的功能也都变得更好用了，整个模型也升级了。到 4 月份才把去年定的预算花完，就说明他们这帮人实在是太懒惰了，用得实在太少了。</p>



<p class="wp-block-paragraph">去年的话，很多跟 AI 之间的沟通还是你问一句它答一句，这个其实是很省 Token 的。到今年已经都变 Agent 了，它自己拆任务，自己读文件，自己写代码，自己跑命令，然后复盘失败，继续做下一轮重复。Agent 跑的 Token，跟去年问答的 Token 根本就不在一个数量级上。所以如果 Uber 到 4 月份才烧光 Token，只能说明他们做得太保守了。</p>



<p class="wp-block-paragraph">当然，Token 突然烧得特别快，还有一个很重要的原因，就是最近 OpenAI 也好，Anthropic 也好，包括国内的这些 AI 平台，都干了一个事情。这个事情所有人都在骂，就是改计费方式。</p>



<p class="wp-block-paragraph">因为原来都是按提问次数来计费的，今年统一都按 Token 和上下文来计费了。原因也很简单：原来按提问次数计费的时候，我们会把问题写得特别长。像我原来到 ChatGPT、到各个地方去提问题的时候，我那个问题经常会写几千字，然后一把扔进去，等着它在那吭哧吭哧跑 10 分钟再出来。这个原来算一次。你现在再塞四五千字的小作文进来提问题，是要按 Token 来计费了。</p>



<p class="wp-block-paragraph">所以整个计费实际上是要比去年贵了。他们这些公司其实是在做变相涨价。这是第二类问题，就是去年的预算设太低了。</p>



<h3 class="wp-block-heading">第三类问题：ROI 的追问本身太旧世界</h3>



<p class="wp-block-paragraph">第三类问题是什么？就是 Uber COO 的那个追问，说你的 ROI 不对。这个问题本身就非常非常旧世界。他问说 AI 花费越来越难以证明 ROI 了，听起来很合理，但是我要讲得狠一点：在这个阶段要求每一笔 AI 探索立刻证明收入贡献，就是反动，就是想抱着公司一起死。</p>



<p class="wp-block-paragraph">研发探索不能每一次都证明 ROI，销售去请客户吃饭也不能每一次都证明 ROI。像我们以前做销售、做投资什么的，出去吃饭回来，会计就会告诉你说，你这个发票应该记在哪个项目里？如果这个项目失败了，或者这个项目成功了，我们怎么来摊销成本？他们关心这种事，他不关心你最后项目能不能成。</p>



<p class="wp-block-paragraph">但是你现在如果让工程师每次烧 Token 的时候，不让他去想我到底要做什么事情，而是先填一个收据：我这个 Token 是给什么项目烧掉的，我那个 Token 是给什么项目烧掉的。这样的话，基本上公司是活不下去的，绝对活不过这个冬天。</p>



<p class="wp-block-paragraph">所以排行榜错在把油耗当成了勋章，预算错在用旧油表来评估新引擎，ROI 的问题错在让新的生产力先给旧世界下跪。这就是这次的三个错误。</p>



<h2 class="wp-block-heading">职能部门和业务部门的冲突</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_4.jpg" alt="一边是财务法务人员拿着预算夹板拉起红色审批线，另一边是产品研发团队推着 AI 引擎奔向客户目标，双方在办公室战场中对峙，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">讲到 ROI 这一块，我还要讲一个冲突，就是职能部门和业务部门的冲突。旧的管理方式在做最后的挣扎。所有抱着“先控制成本、先确定目的、先证明 ROI”不放的人，都在尝试杀死公司，或者抱着公司一起死。这句话说得不好听，但是今天必须这么讲。</p>



<p class="wp-block-paragraph">因为 AI 压根就不是传统 SaaS，AI 是新的生产资料。你不能要求一个新的生产资料在刚刚进入公司的时候，就完全服从旧表格、旧审批、旧预算、旧 KPI。那些只会说“先调预算表、先证明收入、先控制额度”的岗位逻辑，本来就是最容易被 AI 取代的。他们本来应该是被干掉的人，现在拼命要把 AI 关进旧的流程里，本质上就是在做最后的垂死挣扎。更狠一点，他们不是在救公司，他们就是惦记抱着公司一起去死。</p>



<p class="wp-block-paragraph">这里不是说财务、法务、运营这些人不重要。这属于职能部门，像我们以前属于业务部门，挣钱的部门。传统的职能部门有旧的管法，这些人就是受这套教育上来的。但是到今天，他们已经不配决定 AI 探索的边界了。</p>



<p class="wp-block-paragraph">公司里永远是两拨人：一拨人负责往前打仗，研发、产品、教育，包括像我们以前做投资、BD；一拨人负责系统不能失控，财务、法务、运营、合规。过去两拨人可以做预算、审批、报销、KPI 来进行平衡。但是 AI 时代不一样了，因为探索的速度太快，工具变化太快，成本曲线太陡峭了。如果你还让传统的职能部门用旧的方式来决定 AI 边界，这公司只有死路一条。</p>



<p class="wp-block-paragraph"><strong>正确的管法不是审批，正确的管法是教育。</strong>让每一个使用 Token 的人知道自己在做什么，知道为什么要用这些 Token，知道这个探索最后要推出哪些产品、哪些流程，以及要提供哪些用户价值；知道哪些 Token 是探索，哪些 Token 是空转。这个才是最重要的。</p>



<p class="wp-block-paragraph">不要因为个别人浪费了 Token，就处罚所有人。像 Uber，发现有人浪费 Token 了，最后改成每个人的 Token 上限一个月是 1,500 美金，不能再超了。这个就属于因为个别人去处罚所有人。而且 Uber 的问题其实是他们自己没有设对预算，这本来就不应该通过预算的方式去跑。</p>



<p class="wp-block-paragraph">不要因为有人拿 Opus 4.7、Opus 4.8 去问天气，就把所有工程师的 Claude Code 都封了；不要因为有人刷榜，就让整个团队回到手写代码和人工检查的阶段。传统职能部门可以提醒公司别撞墙，但是不能拿旧世界的刹车拆掉新时代的发动机。</p>



<h2 class="wp-block-heading">模型分层失败：最贵的菜单被递给了用户</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_5.jpg" alt="自助餐台上摆着 Haiku、Sonnet、Opus 三层模型菜单，用户端着盘子自然伸向最贵的 Opus 大餐，背后企业买单人捂着账单头疼，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">Token 爆炸还有另外一个小原因，就是模型分层失败。这个还得怪 Anthropic，因为我确实不太喜欢这公司。Anthropic 明知道正确的答案，但是揣着明白装糊涂，把最终的选择交给了用户。</p>



<p class="wp-block-paragraph">什么意思呢？Anthropic 的模型是分层的：Haiku、Sonnet、Opus，后边还有……一共是分四层。Haiku 现在大家还用不到，前面是分三层。而且每一个模型的思考深度是不一样的，它有 low、medium、high、xhigh，可以通过这么多种思考方式去进行推理。如果你要求 xhigh，一定是消耗最多的 Token 去思考这个问题。</p>



<p class="wp-block-paragraph">但是不同的问题到底应该用什么样的模型，应该用什么样的思考深度，Anthropic 自己其实是知道的。但是它没有这么做，它是把所有东西都扔到你面前来：你自己选吧。</p>



<p class="wp-block-paragraph">这个玩意儿就跟咱们去吃自助餐一样。自助餐的菜单上，有些菜很贵，有些菜很便宜。那些很贵的菜真的很贵吗？可能确实是贵一些，但其实目的是什么？是为了让你尽可能去吃这个很贵的东西，这些东西我们多吃掉一些；那些它标价不是特别贵的东西，让你在心理上天然地去排斥。因为让用户去选，一定是这样的。</p>



<p class="wp-block-paragraph">所以为什么我们说问个天气用 Opus、改个日期用 Opus，都是这样的心理：我明明已经花了最高的钱了，我已经拿到了企业账号了，我已经可以用 Opus 了，可以用 xhigh 这么高的推理了，我干嘛要委屈自己上 Sonnet？</p>



<p class="wp-block-paragraph">其实 Anthropic 自己明白，最适合编程的模型是 Sonnet，Opus 是应该去做架构设计的。但是我们现在很多人是在拿 Opus 直接从头跑到尾。这个东西不能说是用户自己傻，这个东西就是 Anthropic 为了收更高的 Token 费用、为了卖更多的钱，故意做了一本诱导你的菜单，然后在价格上给你标好。你既然已经交了自助餐的钱，或者有人请客了，那我一定点贵的吃，一定是这样的心理。</p>



<p class="wp-block-paragraph">这个对于 Anthropic 来说，它可以收到更多收入，但是对于请客吃饭的人，比如说公司要买单的人来说，他就会觉得很痛苦。这就是大模型公司现在的问题：不是没有分层，而是明知道应该去做自动路由，却还是把最贵的菜单直接递给用户了。</p>



<h2 class="wp-block-heading">AI 不是 SaaS：它是会自己踩油门的生产资料</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_6.jpg" alt="传统 SaaS 坐席表像整齐车票一样放在桌上，旁边一台 AI 机器自己踩下油门并喷出 Token 计数，管理者用旧表格追赶失控速度，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">还有，公司内部把 AI 当 SaaS 来管，本身其实就是错的。很多公司要求做预算，像 Uber 干的这个活：你给我做个预算吧，明年你们要多少 AI。它实际上就是把 AI 当 SaaS 来管的。</p>



<p class="wp-block-paragraph">SaaS 是怎么干活的？SaaS 是靠收坐席费的。一个坐席多少钱，我只要一次性把这个钱谈完，然后我去给你砍价：你这个坐席能不能再便宜点，能不能再送我几个坐席？这个事就结束了。但是 AI 不是这么收钱的。AI 是先要收坐席费，然后再要收 Token 费，它是两个钱一起收。</p>



<p class="wp-block-paragraph">大家不要老想着说我们这 20 美金、200 美金，这是个人账户。真正的企业账号是 Business 或者 Enterprise 这样的账号，Claude 也是 Enterprise。这种账号都是先给每个坐席交 20 美金，然后再去收 Token 费。这个玩意儿是很贵的。你要通过这样的方式去管理，一定会出现管理失败的情况。</p>



<p class="wp-block-paragraph">所以 AI 不是软件订阅，它是会自己踩油门的生产资料。你还拿着坐席表来管它，那账单一定会爆炸。</p>



<h2 class="wp-block-heading">SaaS 自己也很痛苦：传统软件卖复制，AI 卖消耗</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_7.jpg" alt="SaaS 公司站在中间搬运 Token 箱子，左侧从大模型厂商高价进货，右侧卖给大量客户后箱子迅速漏光，复制软件光盘与消耗计量表形成对比，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">讲到 AI 不是 SaaS，咱们要讲到另外一面：SaaS 自己也很痛苦。传统软件卖的是复制，而 AI 卖的是消耗。</p>



<p class="wp-block-paragraph">很多 SaaS 公司其实也会遇到 Token 爆炸的问题，但是它们遇到的问题跟刚才我们讲的这几家还不太一样。它们是在卖别人的 Token，拿了 OpenAI 的 Token，拿了 Anthropic 的 Token，然后卖给自己的客户。在这个过程中，它加了自己的提示词，加了自己的上下文，加了自己的一些流程管理，但实际上跑的还是 OpenAI 和 Anthropic 的 Token。</p>



<p class="wp-block-paragraph">这里就会有一个很麻烦的问题。原来这些 SaaS 公司只管卖坐席就完了。我卖 1,000 个坐席，卖 1 万个坐席，中间的成本是一样的，因为对于你来说，我就写了一套软件嘛。但是现在不一样了，你有一个进货出货的过程。我这头买了 Anthropic 的 Token，买了 OpenAI 的 Token，我那头要卖给这 1,000 个客户，或者卖给这 1 万个客户。每一个客户的增加，每一次用户的使用，其实都会让你的 Token 成本，也就是你的进货成本上升。</p>



<p class="wp-block-paragraph">而且还有一个很大的问题。以前大家希望什么？用户买了你们家 SaaS 以后，其实大家最希望他不用，就像健身房似的。你买了 1 万个用户回来，但是可能只有 100 个在用，剩下的人都在摸鱼，这是大家希望的。但是现在你一旦是从 Anthropic 买了 Token，然后在那边提供给别人用了，给了 1 万个坐席，大家就算不用你的功能，还会去挂着 Anthropic 的模型去干别的事。所以这是很不划算的一个事情。</p>



<p class="wp-block-paragraph">如果想要继续做 SaaS，大家就需要重新思考了。这种带着 AI 的 SaaS，需要思考什么问题？就是在你一进一出的过程中，甚至你有可能进货的价格还没有客户直接上 Anthropic 去买的价格便宜，最后可能是同样的价格。在这样的情况下，你的附加值到底是什么？</p>



<p class="wp-block-paragraph">如果你的附加值很小，说我只是这头买完了那头卖，中间加了点提示词，你很快就会被 OpenAI 和 Anthropic 直接替代掉。人家说我不跟你费这个劲了，我直接在 OpenAI、Anthropic 去买就完了，我不需要你了。你加的这些东西，人家都已经给你做了。现在很多 SaaS 公司要死，实际上是死在这儿了。</p>



<h3 class="wp-block-heading">SaaS 的三条路</h3>



<p class="wp-block-paragraph">SaaS 其实有三条路可以走。</p>



<ol class="wp-block-list">
<li><strong>走 Cursor 这条路，干脆自己重新训练模型。</strong>训练一个相对便宜一点的模型。Cursor 就是拿 Composer 2.5 重新去做了后训练和强化学习，得到了 Composer 2.5 的一个新的模型。因为它自己有大量的用户编程数据，所以据说现在这个模型效果还不错。</li>



<li><strong>直接调用最便宜的模型。</strong>比如 DeepSeek 这样的模型。我不需要什么 Opus，我不需要 GPT，我就给你上一个最便宜的，我把问题解决就完事了。我通过更严格的上下文管理、批处理、跟进，进行 AI Agent 的设计，用最便宜的模型也可以把它搞定。这也是一条路。</li>



<li><strong>进行 Token 节省。</strong>现在有很多 Token 节省工具，就跟我们以前做 Clean Master 似的，把垃圾清掉。现在最简单的 Token 节省工具，有一个仓库叫 <code>understand-anything</code>，就是理解所有东西。大家有兴趣的话，可以到 GitHub 上去下载这个库来使用。</li>
</ol>



<p class="wp-block-paragraph"><code>understand-anything</code>&nbsp;干的活其实很简单，就是把你整个项目全都读一遍，理解一遍，然后把整个项目建立一个索引树。每一次再去提问题、再去处理的时候，它都会自动通过索引树找到正确的上下文去进行注入，然后直接用最少的 Token 把问题解决掉。</p>



<p class="wp-block-paragraph">因为 Claude Code 也好，Codex 也好，最耗 Token 的是什么？就是我去读项目，读完以后不知道该改什么。那你如果前头直接用&nbsp;<code>understand-anything</code>&nbsp;过了，它就会快速定位到需要调整的东西，快速知道我这个程序是干什么的，它们之间的依赖关系是怎么回事。这也是一个方式。</p>



<p class="wp-block-paragraph">当然，<code>understand-anything</code>&nbsp;这种东西在短期内有用，未来肯定会被淘汰掉。原因也很简单，未来这种东西会被系统做在里边，不会需要你自己去做。未来 Token 一定会变便宜，但是使用量还会继续爆发。</p>



<h2 class="wp-block-heading">Token 价格：透明与不透明</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_8.jpg" alt="画面左右分成两半，左边是不透明黑箱价格机器吐出随机 Token 账单，右边是透明玻璃工厂标出低价成本曲线，企业采购者站在中间比较选择，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这里头有一个问题，就是 Token 的价格极其不透明。现在 Token 价格实际上分两派。一派就是 OpenAI、Anthropic、谷歌这些人，他们的 Token 价格极度不透明。现在你问 OpenAI，为什么 100 万 Token 输入是 5 美金？它不会给你解释这是怎么算出来的。或者说，你现在花钱买了新的机房进来，新的机房按黄仁勋的说法，越新的 GPU 应该越省钱，因为它的计算密集度高了，还省电了。那按道理说，你这个 Token 应该降价，它也不理你。所以它这个价格是极度不透明的。</p>



<p class="wp-block-paragraph">他们有的时候会突然重置你的额度，前两天又重置了一回；有的时候会给额度直接翻倍，比如我这 20 美金的直接给我翻倍。但是翻倍了到底有多少，它也不会告诉你。他们就是不透明的玩法。</p>



<p class="wp-block-paragraph">其实从互联网时代，这些大公司的价格都是不透明的，到 AI 时代依然如此。大家想一想，我们到谷歌上去投广告，到 Facebook 上去投广告，那个价格透明吗？那个价格一点都不透明。为什么贵，为什么便宜，这个底价你是搞不清楚的。你想谷歌这么大一公司，十几万人、几十万人的一公司，就靠广告撑着，那它这玩意儿怎么透明？</p>



<p class="wp-block-paragraph">所以，只要他们彻底做到头上、做到垄断了，它就可以用不透明的价格去不停地反复收割你，而且你还没得选。</p>



<p class="wp-block-paragraph">当然另外一条路，就是走彻底透明这条路。DeepSeek 就属于彻底透明这条路的。它可以透明到什么程度？我做到这个价格，谁都做不到。类似于比亚迪式的。日本人把比亚迪的车拿回去拆，拆完以后说，这个能达到安全要求吗？能。你们能按这成本做出来吗？不能。那就没戏。</p>



<p class="wp-block-paragraph">DeepSeek 现在已经做到这样了。它现在这个价格，你让这些做推理服务的云厂商用英伟达的 B300 去做，都没有它现在给出的价格便宜，那就属于彻底透明了。我把这价格打穿了也行。</p>



<p class="wp-block-paragraph">现在 DeepSeek 这个价格已经达到一个什么状态了呢？前两天腾讯云突然宣布降价，说我们 DeepSeek 降价了，降到跟 DeepSeek 官网一样的价格。其实干的是什么活？就是腾讯云说，我不在腾讯云上再去部署 DeepSeek 了，我现在直接把这个东西跳转到 DeepSeek 的官网去，我用它的 Token 就完事了，因为已经自己部署不划算了。现在变成这样了。</p>



<p class="wp-block-paragraph">以后可能就是分两条路走。第一条路就是像 OpenAI 这样的，我就是不透明，你还没得选。另外一条路就是像 DeepSeek 这样的，我直接降价，让任何人部署都不划算，你就必须让我部署，或者干脆你跟我合作，让我到你那去部署。部署完以后你在那用，我怎么把这个价格降下来你别管，反正是我的独门绝技。现在是这么两条路在走，就是透明与不透明。但是未来因为有 DeepSeek 这样的搅屎棍在这儿，一定会越来越便宜。</p>



<h2 class="wp-block-heading">不要为当前的 Token 焦虑</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_9.jpg" alt="一条时间轴从 WiFi 万能钥匙、省流量、Clean Master 清空间延伸到未来低价 Token 海洋，焦虑图标逐渐变小，产品团队眺望新的用户需求，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">再往下讲一个问题。那你说现在 Token 这么贵，我们又搞不定这么多 Token，怎么办？这就叫 Token 焦虑。但是我要跟大家讲，以史为鉴，不要为当前的 Token 焦虑。因为我们以前其实也有焦虑，以前焦虑什么？叫流量焦虑、空间焦虑。我们都希望能够省一点流量，能够蹭一点流量，怎么能够省一点空间，怎么能够让这个空间更节约一些。</p>



<p class="wp-block-paragraph">但是大家要注意，未来一定是流量无限、空间无限的状态。现在大家还在为流量发愁吗？没有了。我们现在的套餐都已经足够使了。还有人为手机空间发愁吗？也没有了。你只要别微信有好几千个联系人，一般都没有什么可发愁的事情。所以今天为 Token 发愁，以后 Token 一定不会让你发愁的。</p>



<p class="wp-block-paragraph">每一代互联网都有一种短期的稀缺，短期看是大生意，长期看基本上都会被基础设施直接吞掉。所以要去做时间的朋友。</p>



<p class="wp-block-paragraph">而且，为流量焦虑和为空间焦虑这两个事情，都是老范自己亲自赶上的。为流量焦虑的时候，我当时在盛大，在陈大年手底下，我们当时做的产品叫什么？叫 WiFi 万能钥匙。你不是没流量吗？我教你怎么去蹭 WiFi，这不就是为流量焦虑解决问题的吗？当时如日中天，现在还有谁在使这东西吗？没多少人了吧。</p>



<p class="wp-block-paragraph">那你说为空间焦虑，老范怎么也赶上了？对，后来我离开盛大以后去猎豹了，那里做的东西叫 Clean Master，就是把你的手机空间给你清理清理，就干这件事，傅盛做的。</p>



<p class="wp-block-paragraph">这些产品当时是有价值的，它解决了一个阶段性的基础设施缺口。但是后来 4G、5G、WiFi 普及了，存储变大了，手机算力也上去了，很多焦虑自然就消失了。</p>



<p class="wp-block-paragraph">到现在，你说这些基础的东西还在吗？比如省流量这个事情还在，但不需要再去装 Clean Master。现在都是谁来搞定？操作系统搞定了。比如 Google Play，就是谷歌的应用市场，它在下载应用的时候会自动给你省流量。比如你原来有 1.0 版，现在需要给你装 1.1 版了，它把两个安装包给你比较一下，只把变化的那一部分给你传下来，没有变化的那部分就不给你传下来了，它自动给你把流量省掉。</p>



<p class="wp-block-paragraph">真正需要去做的是未来，我们需要一些什么新的功能。所以现在你可能觉得，我跑一次 Agent 几十万 Token 就不见了，而且很贵。可能过几年，现在这些 Token 就会像手机流量一样。但是这是一个过程。</p>



<p class="wp-block-paragraph">真正赚钱的人不一定是最省流量的人，真正厉害的人是最早想明白流量不值钱以后，用户到底要用什么产品的人。所以今天也一样，如果你只围绕着省 Token 在做产品，等 Token 变便宜了，你的价值就会被基础设施吃掉。比如刚才我们讲的&nbsp;<code>understand-anything</code>&nbsp;这样的产品，最后这种东西就会被 OpenCode、Codex、Claude Code 直接吃进去。以后人家会默认带这个功能，而且兼容性还特别好，比你这种外挂的系统肯定还要更好用一些。</p>



<p class="wp-block-paragraph">我记得当时我去谷歌，跟谷歌的大中华区负责人去聊的时候，他们就问我们说，你们这个 Clean Master 到底是清硬盘还是清内存？就是清的是 storage 还是清 memory。后来我想了一下，我说我们只清 storage，我们是不去动 memory 的。他就讲说这是对的，memory 就应该由操作系统去管，你们不要去碰这个东西。你一旦碰了这个东西，操作系统稳定性就会下降，你们现在去清一清 storage 就算了。</p>



<p class="wp-block-paragraph">当然后来这个哥们也挺坏，随着谷歌的升级，安卓慢慢沙箱化越来越严重以后，其实你连 storage 也清不了了。因为原来你可以去清理 storage，是因为你可以去把其他应用使用的这些空间都处理掉，现在你摸不到了，每个应用只能使用自己的空间。所以那哥们也挺坏的，先稳住了我们。</p>



<p class="wp-block-paragraph">所以解决短期焦虑能够挣钱一阵子，但是站在长期趋势一边，才能决定你有没有未来。要做时间的朋友。</p>



<h2 class="wp-block-heading">不要给 Token 上纪律，要让人看到目标</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_10.jpg" alt="战场隐喻中一名工程师拿着装满 Token 子弹的工具枪瞄准客户价值目标，旁边管理者试图安装弹夹阻断器，远处目标旗帜清晰可见，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">最后的结论：不要给 Token 上纪律。像刚才咱们讲的 Uber 这样，给 Token 上纪律，说每个人 1,500 美金，不允许超，这是不对的。要让使用 Token 的人看到目标，这才是正确的方式。</p>



<p class="wp-block-paragraph">我不想把结论说成要有 Token 纪律。纪律这个词太旧了，而且在这个时间点说这个词是非常非常危险的。今天真正要做的是教育每一个使用 Token 的人：你在做什么？你为什么要烧这些 Token？你最终要提供什么样的客户价值？这个才是真正要去做的事情。</p>



<p class="wp-block-paragraph">不要给他做什么中间目标，中间目标会把队伍带偏的。我记得以前看过一篇文章，说一个以色列士兵讲，每一次出征之前会回家去看父母、看亲人，以后他就理解为什么要去战斗了。这不是因为他不懂战术，而是要让他看到目的。</p>



<p class="wp-block-paragraph">使用 Token 也是一样，要让工程师看见，你为什么要去做这个事情，要让他理解什么是客户价值，而不要让他去看&nbsp;<code>/usage</code>&nbsp;里边显示的美元数字，不要让他去看什么 Token 榜单，更不要把这种事情交给什么 CFO、COO 这些人去盯月度账单。如果你说公司我不想要了，可以干这个活。</p>



<p class="wp-block-paragraph">反过来，有人说我就要有纪律，没有纪律这事就不行。那咱们讲另外一个悲剧。英国有一款步枪叫李-恩菲尔德步枪，这个步枪是很古老的栓动步枪，但是它有一个 10 发的弹夹，射速很快，训练好的士兵可以快速打出很密集的火力来。</p>



<p class="wp-block-paragraph">但是早期的版本，这个东西装了一个叫弹夹切断器的东西。因为害怕士兵浪费子弹，害怕士兵乒乒乓乓把这枪都打出去，瞎都打尽了，它就做了一个弹夹切断器。就是你每一次必须要上一发打一发，然后再手动装填一发再打一发。这样的话，射速不就降下来了吗？你的子弹也就省了。</p>



<p class="wp-block-paragraph">但是你这样去打仗，会付出很多人的生命。到一战的时候，战争烈度上来以后，他们最后把这个弹夹阻断器就给去掉了，说这事不行，我们愿意多烧一些子弹，让士兵活下来，我们要赢得战争。</p>



<p class="wp-block-paragraph">所以所谓的给 Token 加纪律，就是在往步枪上去加这种弹夹阻断器。你明明有 10 发弹夹可以快速射击，但是你加了这个东西，看起来省子弹了，但是会死人，会打败仗。而设计弹夹阻断器的人，这帮人永远不上战场。</p>



<h2 class="wp-block-heading">给企业的四句话</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/enterprise-ai-token-billing-cost-management/blog_11.jpg" alt="企业会议室白板上写着四条行动原则，前线团队、职能部门和 AI 工具围成一圈，把账单仪表盘转向客户价值目标，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<ol class="wp-block-list">
<li>不要让传统职能部门用传统方式去衡量 Token 消耗本身。他们看见的是账单，不是战场，这些人也从来不上战场打仗。</li>



<li>不要因为个别人浪费了 Token，就处罚所有人。抓浪费的人，这个事没毛病；但是你如果禁止大家去探索，那这个战争一定会输。</li>



<li>要做时间的朋友。Token 一定会越来越便宜，不要围绕短期的稀缺去建立长期战略。你说我短期做一个产品去挣点钱，这事没毛病，但是最后这些省 Token 的事情，一定是操作系统或者 OpenAI、Anthropic 这些公司去干的活，普通人跟它没关系。</li>



<li>设计产品和服务的时候，要想清楚 Token 不设限以后会发生什么。如果 Token 便宜得像水电一样了，你的服务核心价值到底是什么？你又该怎么给它定价？</li>
</ol>



<p class="wp-block-paragraph">所以最后，抱着控制成本、确定目的、先证明 ROI 不放的人，会越来越像旧时代的遗留岗位。这些岗位就是应该被 AI 替代的。如果公司还让他们来决定 AI 探索的边界，那就不是在控制风险，而是准备抱着这些人一起去死。</p>



<p class="wp-block-paragraph"><strong>不要管 Token，要管的是目标。</strong>不要处罚探索，惩罚的应该是错误的排行榜。不要做账单的朋友，要做时间的朋友。这就是咱们今天讲的故事。</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>AI 的切尔诺贝利时刻，真正可怕的不是事故，而是不愿意承认事实？</title>
		<link>https://lukefan.com/2026/06/03/ai-chernobyl-moment-anthropic-mythos-risk/</link>
		
		<dc:creator><![CDATA[老范 讲故事]]></dc:creator>
		<pubDate>Wed, 03 Jun 2026 00:52:53 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[AI切尔诺贝利时刻]]></category>
		<category><![CDATA[AI安全监管]]></category>
		<category><![CDATA[AI系统性风险]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Claude Mythos漏洞利用能力]]></category>
		<category><![CDATA[Project Glasswing网络安全项目]]></category>
		<category><![CDATA[人工智能切尔诺贝利]]></category>
		<category><![CDATA[金融时报AI切尔诺贝利社评]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3816</guid>

					<description><![CDATA[本文解析“AI切尔诺贝利时刻”背后的真实含义：Claude Mythos为何被限制发布，Project Glasswing网络安全项目为何引发全球监管讨论。文章从Anthropic前沿模型的漏洞发现能力谈起，对比切尔诺贝利事故中风险被压制、事实被遮掩的制度教训，进一步讨论AI模型监管、Claude Mythos安全风险和中美AI竞争中的透明披露问题。真正的风险不只是技术变强，而是当强模型可能失控时，企业、媒体、监管和国家机制是否允许坏消息浮出水面。]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="AI 的切尔诺贝利时刻，真正可怕的不是事故，而是不愿意承认事实？" width="900" height="506" src="https://www.youtube.com/embed/M8-o9pg2eqU?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_1.jpg" alt="一座由芯片纹路构成的反应堆与一份写着AI风险警示的财经报纸并列放在桌面中央，周围是警报灯、监管文件和数据流线条，形成“技术事故与制度承认”主题封面构图，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">AI 的切尔诺贝利时刻，真正可怕的不是事故，而是不愿意承认事实</h2>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。</p>



<h2 class="wp-block-heading">《金融时报》为什么用了这个标题？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_2.jpg" alt="一张英国财经报纸摊开在浅色办公桌上，标题旁同时出现AI芯片图标和核电站冷却塔剪影，编辑用红色标注笔圈出“必须监管”的风险提示，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">《金融时报》为什么起了这么吓人的一个标题？刚才这个标题不是老范自己起的，也不是自媒体的标题党，它是英国《金融时报》在 2026 年 5 月 27 日的社评里用的，标题叫做《防止 AI 的切尔诺贝利时刻》。</p>



<p class="wp-block-paragraph">这就很不寻常了，因为《金融时报》不是靠吓人吃饭的媒体，它平时讨论的是利率、监管、资本、产业和全球秩序。当《金融时报》把 AI 和切尔诺贝利放在一起的时候，它不是说 AI 要毁灭人类，它是在说 AI 可能已经进入了一个必须被国家级监管的阶段了。</p>



<p class="wp-block-paragraph">这句话很重要。因为切尔诺贝利不是普通的灾难，它代表的是一个现代工业系统：明明已经看到了风险，明明内部有人知道问题，但整个制度选择了压制、扭曲事实、拒绝承认，最后把局部事故拖成了系统性的灾难。</p>



<p class="wp-block-paragraph">《金融时报》这个标题耸人听闻吗？是的，耸人听闻。但严肃媒体有时候故意吓人，不是为了制造恐慌，而是为了把最坏的可能性摆在桌面上。它真正想问的是：如果 AI 出现了一个不可收拾的安全事故，人类会不会像 1986 年那样，先否认，再遮掩，最后才发现为时已晚？</p>



<span id="more-3816"></span>



<h2 class="wp-block-heading">Mythos 事件：从技术新闻到系统性风险</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_3.jpg" alt="一个标注Mythos的半透明玻璃盒中放着发光AI芯片，盒外连接着苹果、云服务、银行、开源基金会和安全公司的图标节点，旁边一把钥匙显示“限制访问”，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">《金融时报》为什么要写这样一篇文章呢？这就是针对 Anthropic 的 Mythos 这样的一个新模型去的。这篇《金融时报》社评的背后，真正的导火索就是 Claude Mythos，是 Anthropic 训练的最前沿模型。</p>



<p class="wp-block-paragraph">2026 年 4 月 7 日，Anthropic 公开宣布了 Project Glasswing，就是“玻璃翅膀”。这是一个跨行业网络安全项目，参与方包括 AWS、苹果、博通、Cisco、CrowdStrike、谷歌、JPMorgan Chase、Linux 基金会、微软、英伟达、Palo Alto Networks，这都是安全公司。</p>



<p class="wp-block-paragraph">Anthropic 说得很直白：Mythos 是一个还没有公开发布的前沿模型，它在找软件漏洞、利用软件漏洞这件事情上，已经强到超越了绝大多数的人类专家。它已经找到了数千个高危漏洞，这些漏洞覆盖主要操作系统、主要浏览器和关键软件。</p>



<p class="wp-block-paragraph">这句话听起来像是好事，因为如果防守方先找到漏洞，就可以先修。所以 Anthropic 并没有把 Mythos 直接发给公众，而是选择限制访问，让一大批大公司和开源组织先拿它来做防御。这就是所谓的 Project Glasswing。</p>



<p class="wp-block-paragraph">但是问题也恰恰在这里。找漏洞和利用漏洞，本质上是同一项能力的两面。你能够帮助微软、苹果、Linux 找漏洞，你也能够帮助攻击者写利用链。这就像一个人突然发明了一台超级显微镜，它可以帮医生看见癌细胞，也可以帮坏人看见系统里面最薄的血管。技术本身不站队，能力一旦扩散，它就不听发明者的话了。</p>



<p class="wp-block-paragraph">所以 Mythos 事件真正吓人的地方，不是 Anthropic 做了一个强模型，而是 Anthropic 自己也承认，这个模型强到不能够广泛发布了。这就等于 AI 公司第一次非常公开地说：<strong>我们手里有一种能力，商业上很值钱，但是安全上不能随便卖。</strong></p>



<p class="wp-block-paragraph">这之后，金融系统、政府部门、网络安全圈都开始动起来了。美国、英国、加拿大、欧盟、日本、印度、澳大利亚都出现了不同形式的讨论和测试。而中国也曾经尝试去申请使用，但是被 Anthropic 拒绝了。</p>



<p class="wp-block-paragraph">很多细节还没有完全公开，但方向已经很清晰了。大家不再把这件事情作为普通的模型发布，而是当做一个基础设施安全事件。到 2026 年 5 月 27 日，《金融时报》用“切尔诺贝利时刻”来给它定调了。</p>



<p class="wp-block-paragraph">从 4 月 7 日到 5 月 27 日，只过了 51 天。一个 AI 模型，51 天之内，从技术圈新闻变成了全球财经媒体的系统性风险话题，这就是 Mythos 事件真实的分量。</p>



<h2 class="wp-block-heading">回到 1986 年：切尔诺贝利到底发生了什么？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_4.jpg" alt="1986年的核电站控制室以时间轴方式展开，左侧是凌晨测试按钮和闪烁仪表盘，右侧是普里皮亚季居民照常排队上班上学，远处冷却塔冒出红色警示云，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">回过头来看，切尔诺贝利到底发生了什么呢？</p>



<p class="wp-block-paragraph">我们回到 1986 年 4 月 26 日，地点是苏联乌克兰的切尔诺贝利核电站。凌晨，4 号反应堆在一次安全测试中失控，发生爆炸。反应堆炸开，放射性物质进入空气。普里皮亚季那座城市距离核电站只有几公里，当时住着大约 4.9 万人。</p>



<p class="wp-block-paragraph">但事故发生之后，苏联没有第一时间告诉他们真相，也没有第一时间大规模撤离。人们照常上班、上学、排队买东西。直到后来瑞典的核电站监测到了异常辐射，外部世界才逼着苏联承认出事了。</p>



<p class="wp-block-paragraph">切尔诺贝利事故的技术原因，后来也经过了很多研究。它这种反应堆本身设计就有缺陷，操作人员违反程序，安全系统被人为关闭，测试本身安排得很混乱，这些都是真的。</p>



<p class="wp-block-paragraph">但如果只讲技术，就低估了切尔诺贝利事故。切尔诺贝利最可怕的地方，不是一个按钮按错了，而是一整套制度长期把完成任务放在尊重科学前面，把维护形象放在承认风险前面，把上级满意放在现场真实的前面。</p>



<p class="wp-block-paragraph">HBO 那部神剧《切尔诺贝利》就给出了一个非常残酷的结论：</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">谎言所欠下的真相的债务，迟早要还。</p>
</blockquote>



<p class="wp-block-paragraph">这句话为什么打动人？因为它不是只在讲核电站，它是在讲一种组织病。下面的人不敢讲真话，中间的人不愿意承担责任，上面的人只想听好消息。科学被政治扭曲了，专业被权力压住了，事实被宣传替代了。最后反应堆爆炸只是一声巨响，真正的爆炸早在制度内部发生了很多次，只不过没有声音而已。</p>



<h2 class="wp-block-heading">切尔诺贝利改变了什么？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_5.jpg" alt="一张欧洲地图上出现核电站关闭标识、天然气管道和能源账单三组图标，裂开的制度信誉印章横跨地图中央，表现灾难后政策与心理断点，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">那么切尔诺贝利改变了什么呢？</p>



<p class="wp-block-paragraph">切尔诺贝利之后，苏联并没有马上解体，但它撕开了一个口子。它让全世界看见，一个号称强大的工业帝国，在最需要透明、科学和责任的时候，竟然会本能地选择遮掩。</p>



<p class="wp-block-paragraph">切尔诺贝利不是苏联解体的唯一原因，但它是一个巨大的心理断点。它让很多人第一次相信，这个系统不是只在经济上有问题，也不是只在政治上有问题，它在处理真相这件事情上本身就错了。对于欧洲来说，这就是制度信誉的崩塌。</p>



<p class="wp-block-paragraph">对于欧洲来说，切尔诺贝利还有另外一层后果：它极大地强化了反核情绪。意大利后来通过公投退出了核电，德国的反核政治不断升级。当然，欧洲最大的大规模退核是后面 2011 年的福岛核事故，但是切尔诺贝利是这条路最早、最深的一刀。</p>



<p class="wp-block-paragraph">所以我经常说，欧洲在核电问题上，某种程度上是自废武功。一边害怕核电，一边又要工业化，还要低碳，最后只能更加依赖俄罗斯的天然气、进口能源和复杂的政治妥协。</p>



<h2 class="wp-block-heading">《沙丘》的类比：放弃危险技术，也会转移代价</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_6.jpg" alt="沙漠星球上的香料沙丘、领航员舱室和被打叉的AI机器人并列成因果链，箭头指向“风险转移”天平，一端是禁用机器智能，另一端是新的脆弱依赖，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这个有点像《沙丘》里面的一个桥段。咱们看到《沙丘》的小说和电影里面，这么先进的未来世界，为什么需要去靠香料？因为他们曾经发生过智械危机。</p>



<p class="wp-block-paragraph">所谓智械危机是什么？就是在《沙丘》宇宙里，人类曾经和会思考的机器发生过战争。战争后留下铁律：不得制造像人一样思考的机器。</p>



<p class="wp-block-paragraph">结果呢？人类不用 AI 了，但星际航行还是要继续的，计算还是需要的，管理帝国也需要进行大规模计算。于是他们使用香料、领航员、门泰特、人类大脑去替代机器智能。也就是说，放弃了一种危险的技术，不等于没有代价，只是把代价转移到另外一个脆弱点上去了。</p>



<p class="wp-block-paragraph">欧洲放弃了核电，并没有让能源问题被解决掉；就像《沙丘》放弃了 AI，也没有让计算问题被解决一样。</p>



<p class="wp-block-paragraph">所以 AI 的切尔诺贝利时刻，真正的问题不是 AI 会不会被关闭，真正的问题是：<strong>如果 AI 真出事了，人类有没有能力在不自废武功的情况下，把它纳入监管？</strong></p>



<h2 class="wp-block-heading">西方至少愿意把问题摆上桌面</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_7.jpg" alt="一张圆形会议桌上摆着媒体话筒、企业风险报告、议会文件、监管印章和公众问号，中央是一枚被打开外壳的AI芯片，问题从桌面下方浮到桌面上方，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">现在西方至少愿意承认问题。咱们看到了这么耸人听闻的标题，居然是由英国《金融时报》写出来的，那么就说明西方国家至少是愿意承认、愿意直面问题的。</p>



<p class="wp-block-paragraph">这一次和 1986 年有一个关键的不同：美国、英国、欧洲至少已经开始把问题摆在桌面上了。Anthropic 公开说 Mythos 太强了，不能普通发布；英国《金融时报》公开说，要防止 AI 的切尔诺贝利时刻；各国监管部门、央行、网络安全机构开始讨论。</p>



<p class="wp-block-paragraph">有人主张测试，有人主张国际审查网络，有人担心监管会拖慢美国竞争，有人担心不监管会把全世界拖进事故。这些争论有些混乱，背后也隐藏着各种各样的利益和小心思。但是我要强调一点：愿意承认可能出事，本身就是文明的一次进步。</p>



<p class="wp-block-paragraph">承认风险不等于阻止风险，写社评也不等于就建立了制度。但是如果连风险都不愿意承认，那就连第一步都没有了。</p>



<p class="wp-block-paragraph">当然，西方也不都是圣人。AI 巨头也都有商业竞争压力，投资人是要回报的，模型公司要抢占市场，美国政府还要跟中国竞争，欧洲也想要自己的模型。所以他们未必能够阻止悲剧的发生，甚至很可能阻止不了。</p>



<p class="wp-block-paragraph">但是至少在公开的场合里，你能看到一种机制：媒体可以警告，企业可以承认，议员可以施压，智库可以批评，监管可以讨论，公众可以质疑。这套机制很慢，很无序，很吵闹，而且也并不完美。但是它有一个好处，它逼着问题浮出水面。</p>



<p class="wp-block-paragraph">切尔诺贝利真正可怕的地方，就是问题没有浮出水面，直到反应堆替所有人说了话。</p>



<h2 class="wp-block-heading">中国会不会走上切尔诺贝利的老路？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/blog_8.jpg" alt="一条通往前方AI高塔的道路分成两岔，左侧路牌写着透明披露、独立评估和安全报告，右侧路牌写着只报喜、封闭叙事和风险下沉，远处高塔旁埋着红色警示地雷图标，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">那么，中国会不会走上切尔诺贝利的老路呢？</p>



<p class="wp-block-paragraph">最后一段说的可能有一点点敏感了，因为听到这儿应该剩下的人不多了。中国在 AI 上有没有可能走上切尔诺贝利的老路？我先把边界说清楚：这不是说中国今天已经发生了 AI 切尔诺贝利，也不是说中国公司一定就更危险，这是一个机制问题。</p>



<p class="wp-block-paragraph">如果一个系统里面，坏消息很难向上流动，风险报告不容易被公开，企业不愿意承认模型能力失控，研究者不方便表达安全的担忧，媒体不能持续追问，监管更关心可控叙事，而不是可验证的事实，那么这个系统就会越来越像切尔诺贝利前夜。</p>



<p class="wp-block-paragraph">不是因为它落后，当时的苏联还是非常强大的；恰恰可能是因为它太强了。核电站不是因为原始才危险，它是因为强大、复杂、集中，所以才危险。AI 也是一样的。越强的模型，越需要外部质疑；越强的产业，越需要透明披露；越涉及国家竞争，越不能只听胜利叙事。</p>



<p class="wp-block-paragraph">中国 AI 现在的叙事很多时候是：我们要追上，我们要突破封锁，我们要自主可控。这些都可以理解。但如果只有这些，没有同等强度的安全讨论，没有公开的失败案例，没有独立的第三方评估，没有允许专家说“不行”的空间，那就危险了。</p>



<p class="wp-block-paragraph">因为切尔诺贝利的老路不是技术不够先进，而是技术出了问题，但是政治不允许问题以问题的形式出现。到最后，问题只能以灾难的形式出现。</p>



<p class="wp-block-paragraph">所以今天，英国《金融时报》这个标题真正应该提醒我们的，不只是美国，也不只是 Anthropic，它应该提醒所有押注 AI 的国家。其实这里主要就是美国跟中国。</p>



<p class="wp-block-paragraph">AI 安全不是面子工程，AI 监管不是落后叙事，承认风险不是给对手递刀子，不承认风险才是给未来埋雷。如果美国和欧洲已经开始讨论 AI 的切尔诺贝利时刻了，中国还只愿意讨论 AI 的弯道超车时刻，那么我担心，我们也许真的在走一条熟悉的老路。</p>



<p class="wp-block-paragraph">这条路的名字不叫创新，叫做拒绝承认问题。而切尔诺贝利告诉我们，拒绝承认问题从来不会让问题消失，它只会让问题变得更贵、更慢、更疼，最后由所有人一起来买单还债。</p>



<h2 class="wp-block-heading">结语</h2>



<p class="wp-block-paragraph">好，这就是我们今天要讲的故事。感谢大家收听，请帮忙点赞，点小铃铛，参加 Discord 讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/ai-chernobyl-moment-anthropic-mythos-risk/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Anthropic融资投后估值9650亿美金，距离万亿美金的350亿缺口藏了什么？</title>
		<link>https://lukefan.com/2026/05/31/anthropic-pre-ipo-funding-ai-bubble/</link>
		
		<dc:creator><![CDATA[老范 讲故事]]></dc:creator>
		<pubDate>Sun, 31 May 2026 00:46:49 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[AI万亿IPO大逃杀]]></category>
		<category><![CDATA[AI泡沫破裂]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic 9650亿美金估值]]></category>
		<category><![CDATA[Anthropic IPO估值]]></category>
		<category><![CDATA[Anthropic Pre-IPO融资]]></category>
		<category><![CDATA[Claude Opus 4.8]]></category>
		<category><![CDATA[SpaceX算力合同]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3808</guid>

					<description><![CDATA[Anthropic Pre-IPO融资为何引发AI IPO泡沫讨论？本文拆解其5月融资、盈利信号、Claude模型发布与万亿估值缺口，帮助理解AI企业集中上市背后的资本节奏。文章围绕Anthropic万亿估值风险、算力成本现金流压力、OpenAI与Anthropic收入口径对比，以及SpaceX算力合同疑云，分析这轮AI上市潮是否像互联网泡沫前夜。核心问题不是AI会不会改变世界，而是谁能在现金流断裂前真正上岸。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Anthropic融资投后估值9650亿美金，距离万亿美金的350亿缺口藏了什么？" width="900" height="506" src="https://www.youtube.com/embed/00YVzqruxPc?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_01.jpg" alt="三艘标着Anthropic、OpenAI、SpaceX的橡皮泥AI飞船挤向写着IPO窗口的港口，海面漂着估值泡沫和万亿路标，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">Anthropic刀尖融资，AI万亿IPO大逃杀，谁能在泡沫破裂之前上岸？</h2>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的YouTube频道。Anthropic现在真的是当红炸子鸡：发了新的模型，融了资，估值超过了OpenAI，马上要去上市了。但是先别着急，在所有这些信息里，有几个不同寻常的冲突，今天要跟大家点出来。</p>



<ul class="wp-block-list">
<li><strong>第一个，老钱上车了。</strong>Anthropic这轮融资不是几家VC热闹一下，红杉、富达、普信、资本集团、GIC、淡马锡、黑石、布鲁克菲尔德这些钱一起上桌了。这不是普通融资，这是上市前的排座位，或者我们管它叫Pre-IPO。</li>



<li><strong>第二个，动作精准得有点刻意。</strong>5月中旬，Anthropic先发声，未经董事会批准的股票转让，公司不承认。随后媒体放出它即将在本季度盈利的消息。5月28号直接宣布650亿美金H轮融资，投后估值9,650亿美金。同一天还发布了Claude Opus 4.8。</li>



<li><strong>第三个，350亿的缺口哪去了？</strong>如果投后估值9,650亿，马上要到1万亿了，那么到1万亿之间的这350亿哪去了？为什么它没有到1万亿？今天跟大家解释解释，这到底是不是泡沫破裂之前的大逃杀。</li>
</ul>



<p class="wp-block-paragraph">2026年今年真的是奇迹之年，SpaceX要上市，OpenAI要上市，Anthropic也要上市，都在挤这一个窗口。上一次是在1999年、2000年的时候，大量互联网企业在这儿冲上市，但是那一次给大家留下了一个很不好的名字，叫做互联网泡沫。</p>



<p class="wp-block-paragraph">这一次公司数量变少了，但是市值大了太多太多太多了。重要的事情说三遍：这是不是又一个泡沫即将到来了呢？</p>



<p class="wp-block-paragraph">所以这一期的标题是：<strong>2026年AI企业集中上市的疯狂大逃杀。</strong>谁先上岸，谁把风险交给了公开市场；谁如果慢一步，可能就撞上泡沫退潮了。</p>



<span id="more-3808"></span>



<h2 class="wp-block-heading">Anthropic的5月份四连击：刀尖上跳舞</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_02.jpg" alt="一把细长刀刃上排列四张时间卡片，分别写着清场公告、盈利信号、H轮融资、Claude模型，小型Anthropic标志在刀尖上保持平衡，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">首先咱们先来讲Anthropic的5月份四连击，刀尖上跳舞的5月份。先看看Anthropic的时间线。</p>



<h3 class="wp-block-heading">第一步：打击未经授权的股票转让</h3>



<p class="wp-block-paragraph">5月12号前后，Anthropic开始打击未经授权的股票转让。什么意思？就是在没有上市之前，它的股票是不能随便转让的。你要转让这个股票，必须要到公司董事会上去，甚至是公司股东会上去，大家要签字，签完字了以后才能确认这个股票被转让。</p>



<p class="wp-block-paragraph">但是Anthropic前面传出，有一部分股票转让甚至流入到币圈了。他们把这些股票上链以后进行交易，给Anthropic做了一个1.2万亿美金的估值出来。这个肯定是不行的，因为会影响Anthropic后续融资。所以Anthropic专门发了一个公告，清场了：你们那些都不算，我不承认，你不要来影响我后续融资。</p>



<h3 class="wp-block-heading">第二步：释放盈利信号</h3>



<p class="wp-block-paragraph">第二步，5月20日前后，媒体开始报道Anthropic盈利信号：2026年二季度预计收入109亿美金，预计经营利润5.59亿美金。</p>



<p class="wp-block-paragraph">注意，这不是审计财报，不是净利润，更不是自由现金流，但它对于IPO叙事非常重要，因为它告诉市场：我不是只会烧钱，我至少能够拿出一个盈利季度来。</p>



<h3 class="wp-block-heading">第三步：宣布H轮融资</h3>



<p class="wp-block-paragraph">第三步，在5月28日，Anthropic官方宣布H轮融资650亿美金，投后估值9,650亿美金。它把外面的二级市场影子交易按住以后，拿出了一个官方承认的估值。这个动作很关键，官方这一轮才可以是标准答案。</p>



<h3 class="wp-block-heading">第四步：同日发布Claude Opus 4.8</h3>



<p class="wp-block-paragraph">第四步，5月28号，Anthropic同一天发布了Claude Opus 4.8模型。资本故事和产品故事放在同一天，这就不是乱发新闻了，这是非常精准的节奏控制。</p>



<p class="wp-block-paragraph">对炒作市场来说：别乱买，我不认；对于投资人来说：我有盈利窗口；对于公开市场来说：我接近万亿估值了；对于用户来说：我的产品还在迭代，跑得很快。</p>



<p class="wp-block-paragraph">所以我说Anthropic 5月份的这几步，就是在刀尖上跳舞。往左一步是泡沫炒作，往右一步是财务压力，往前一步是IPO故事，往后一步是算力账单。它的每一步踩得都非常精准。</p>



<p class="wp-block-paragraph">为什么？因为这根弦已经拉到快断了，稍微有一点点差池，可能就直接崩盘了。但是我们看到了这样的操作，恰恰说明一点：它已经没有任何犯错的空间了，必须极其精准地走好每一步。</p>



<h2 class="wp-block-heading">老钱上车：这不是融资，是上市前的排座位</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_03.jpg" alt="一张上市前宴会圆桌上摆着Pre-IPO座位表，红杉、富达、主权基金、基础设施资金等橡皮泥名牌依次落座，中间是Anthropic融资菜单，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">第二组上车了。这不是融资，这是上市之前的排座位。咱们把现在上车的这波人分成几组。</p>



<h3 class="wp-block-heading">第一组：后期科技成长股的钱</h3>



<p class="wp-block-paragraph">第一组是后期科技成长股的钱，比如阿尔忒弥斯、Dragoneer、Greenoaks、红杉资本。这些钱其实一直都在投Anthropic，这些钱在这个时候是不会下车的。</p>



<p class="wp-block-paragraph">像我们签这种投资协议的时候，一般都会有一个条款叫Pre-emptive条款。什么意思？就是我原来占了这么多股份，后面你估值涨了，有其他人进来了，按道理说我的股份应该被稀释。那么我不要被稀释，我会继续去补齐这个钱，让我占的股份还是原来这么多，这是一个权利。</p>



<h3 class="wp-block-heading">第二组：公开市场的长线资金</h3>



<p class="wp-block-paragraph">第二组是公开市场的长线的钱，包括资本集团、富达、普信、百利吉福德。这类钱最关键，因为他们不只是私募，上市以后他们也能够继续买卖。</p>



<h3 class="wp-block-heading">第三组：主权财富基金</h3>



<p class="wp-block-paragraph">第三组就是主权财富基金，就是国家的钱。GIC、淡马锡，这应该都是新加坡的主权财富基金；MGX，这是中东土豪的主权财富基金。</p>



<p class="wp-block-paragraph">这说明AI已经不是普通科技主题了，这是国家级资本在押注算力和基础设施了。</p>



<h3 class="wp-block-heading">第四组：基础设施和供应链</h3>



<p class="wp-block-paragraph">第四组是基础设施和供应链这块，黑石、布鲁克菲尔德，还有美光、三星、SK海力士。这是现在的当红炸子鸡，做HBM的这三个公司都给钱了。</p>



<p class="wp-block-paragraph">这就更有意思了，因为AI打到最后，不只是模型，还有电、机房、内存芯片、数据中心，这些都是要上的。</p>



<p class="wp-block-paragraph">所以Anthropic这轮融资的本质，不是谁看好它，而是谁想在它上市之前抢到一个座位。这就是Pre-IPO的意思。这不是普通融资，是资本市场开席前，老钱先坐下。</p>



<h2 class="wp-block-heading">350亿美金的缺口：SpaceX算力合同的影子</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_04.jpg" alt="一座通往1万亿估值拱门的桥缺少350亿一段，桥下连接着Anthropic现金箱和SpaceX数据中心电缆，旁边有投后估值9,650亿路牌，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">很多人看到9,650亿美金的投后估值的时候，就会觉得好多好多钱，从来没有见过谁融资融成这样的。上一个超过1万亿的是SpaceX。</p>



<p class="wp-block-paragraph">但是大家有没有想过，它为什么不是1万亿呢？不是老范在这儿贪心不足蛇吞象，而是因为1万亿不仅仅是一个数字，它是一个心理屏障。超过了和没超过，它就是完完全全两个不同的概念。</p>



<p class="wp-block-paragraph">通常情况下，我们去做投融资的时候，会设置一个投后估值：你投后应该有1万亿。然后大家冲上来去投，在这个时候再去算投前估值。所以有的时候经常会超那么一点点，因为这个案子实在是太抢手，就会超。</p>



<p class="wp-block-paragraph">那么差那么一点点的情况，通常就是因为有人临阵退缩了，而其他人补不上这个窟窿。不是正好退了350亿，可能退了400亿，但是其他人说我要补这个窟窿，可350亿美金也是一个很巨大的数字，不是谁都能补得上，就会留下这个天窗来。</p>



<p class="wp-block-paragraph">所以在这个时候，我们就要看这个350亿到400亿美金的窟窿到底是谁留下来的。在这儿不会有任何的公开报道，但是以我以前做投融资的经验来说，一定是有人临阵退缩了。</p>



<h3 class="wp-block-heading">嫌疑最大的是Anthropic与SpaceX的算力协议</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_05.jpg" alt="Anthropic一侧递出股票票据和可转债文件，SpaceX一侧是成排GPU机柜和写着450亿算力合同的卷轴，中间有现金不足的红色提示灯，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">现在嫌疑最大的，就是Anthropic跟SpaceX之间签的这个算力协议。这个协议是多少钱？450亿美金。它是这样的：每个月12.5亿美金，3年450亿美金，前两个月有一定的折扣，所以这个合同大概是四百二三十亿这样的水平。</p>



<p class="wp-block-paragraph">这个合同跟这次融资有什么关系？我现在问大家一个问题：Anthropic手里有这么多现金吗？400多亿美金的现金让它拿出来给SpaceX交钱，它有吗？它没有。它穷，还在吭哧吭哧融资。如果它现金很充裕的话，干嘛要去融这些钱？所以它一定是没钱的。</p>



<p class="wp-block-paragraph">又没钱，又要打肿脸充胖子，说我想花400多亿美金来租你的算力，那这个中间就有一个不合理的地方：它到底拿什么钱去做这个交易？</p>



<p class="wp-block-paragraph">通常按照我们以前的做法，这个东西叫可转债。就是我先把它租下来，租完了以后，我还不起这个钱，我把股份给你。或者说直接让你在我这一轮融资里头占股就完了，我用我的一部分股票来租你这个机房，这是最顺理成章的事情。</p>



<p class="wp-block-paragraph">这个事情可以同时解决几个问题：</p>



<ul class="wp-block-list">
<li>第一个问题，Anthropic缺算力。</li>



<li>第二个问题，SpaceX缺收入。大家注意，SpaceX现在最大的一笔收入就是这个，一年150亿美金的租金，没有之一。它第二大收入是Starlink的月租费，一年大概有一百二三十亿美金，还没有到150亿美金的状态。SpaceX马上要上市了，也缺业绩，也缺报表上的数字，咱把它补齐了。</li>



<li>第三个要掩盖的事实，是SpaceX现在的机房开机率不够，机房开机率只有百分之十几，远远低于各个云计算中心的开机水平。这个是有问题的，现在的这些算力卡不是你的优质资产，是你的劣质资产了，因为你买回来以后不开机，就只能白白折旧。</li>
</ul>



<p class="wp-block-paragraph">所以原来是一石三鸟，但是Anthropic想让它变成一石四鸟：我还不想出这个钱，我拿我的股份，拿我1万亿美金估值的股份，这里头是按4%点几，这400多亿也就是4%点几。我拿这个股份直接给你换，我不想给你真金白银。</p>



<p class="wp-block-paragraph">它本来想做这样的一个事情，但是马斯克不乐意。</p>



<h3 class="wp-block-heading">马斯克为什么不乐意？</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_06.jpg" alt="马斯克形象的橡皮泥棋手一手按住算力机房开关，一手把OpenAI棋子拖进诉讼迷宫，Anthropic棋子停在写着180天的合同旁，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">马斯克说，这就是一个短期的协议，没有三年，这就是180天的，而且我们随时都可以把这个算力收回来，只需要提前90天通知它，就可以把这事取消掉，不是像大家想的我一定要租给它三年。</p>



<p class="wp-block-paragraph">而且他讲了说，我自己算力还不够，后边一旦我自己的算力需求上来，我随时就把它终止掉。他讲了这样的话，那么Anthropic一石三鸟变一石四鸟的美梦就破灭了，所以这里边就出了一个窟窿。</p>



<p class="wp-block-paragraph">马斯克为什么干这个事？第一个，马斯克这个人肯定是不喜欢Anthropic的，他前面反复强调我不喜欢它，现在还是要租，原因其实也很简单，他就是要把OpenAI踢出局。</p>



<p class="wp-block-paragraph">前面马斯克起诉OpenAI的官司败诉了，有人问马斯克，你准备怎么办？马斯克说，我就是要一直告下去。这不是意气用事，而是今年能上市的就是Anthropic和SpaceX。马斯克会始终把OpenAI拖在诉讼之中，只要在诉讼里边一直拖下去，你想去上市的话，就会变得非常非常麻烦。所以这就是马斯克要去干的事情。</p>



<p class="wp-block-paragraph">但是另外一头，他又不希望Anthropic跑得太高、跑得太远，因为xAI还需要跟它去竞争。还有一点，就是马斯克也不想让别人嘲笑他说，你的算力用不出去了，买了一堆的显卡，最后你自己用不起来。他也不想让人笑话他。</p>



<p class="wp-block-paragraph">他现在在干什么？一边投资了Cursor，让Cursor去搞出来叫Cursor 2.5的一个模型，说大家赶快来，再爱我一次，我们用Cursor来编程。</p>



<p class="wp-block-paragraph">另外一边，如果大家原来用Cursor编程的话，你们打进去的代码通通都被Cursor收藏了，然后它拿这些数据去训练它的Grok 5大模型。这个模型马上就要发布了。马斯克说，我这模型一发布，大家蹭蹭一上来使，没准我这个算力就都用掉了。我要用掉了，我就把你那个合同停了。所以这是这样的一个故事。</p>



<p class="wp-block-paragraph">从SpaceX 350亿美金的缺口上，我们就可以推测出后面大概是这么发展的：这个合同应该是四百二三十亿，马斯克退了以后，没准其他几家还有稍微补了一点，但是最后给它留了一个350亿的窟窿在这儿。</p>



<h2 class="wp-block-heading">Anthropic突然盈利：这张牌到底意味着什么？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_07.jpg" alt="一个财务定妆照摄影棚里，Anthropic站在聚光灯下举着正数利润表，镜头外堆着算力账单、折旧资产和现金流阴影，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">第四个问题，Anthropic突然盈利了，这还是值得稍微讲一讲的。因为Anthropic这一轮最漂亮的一张牌，就是媒体报道Anthropic预计2026年第二季度可以盈利：收入109亿美金，经营利润5.59亿美金。</p>



<p class="wp-block-paragraph">这对于大模型公司来说实在是太吓人了，因为甭管是OpenAI、xAI，还是谷歌、Meta、微软，都是不太可能在这一块盈利的。</p>



<p class="wp-block-paragraph">但是要注意：</p>



<ul class="wp-block-list">
<li>它是一个经营利润，不是净利润，也不是审计后的完整财报，更不是自由现金流。</li>



<li>这东西叫季度预期，因为现在第二季度还没过完，现在还不到6月1号，你要到6月30号以后才是第二季度过完。所以这是一个媒体给出来的预期。</li>



<li>Anthropic自己也提醒了，后边几个季度随着算力成本的上升，可能会重新亏损。</li>
</ul>



<p class="wp-block-paragraph">大家要注意，一个季度能挣到109亿美金，一年的话按年化算乘4，就是436亿美金，这也是一个很大的数字了。但是Anthropic的算力支出有多少呢？咱还不算它的人员工资或者这些，只算算力支出。</p>



<p class="wp-block-paragraph">马斯克这儿是12.5亿美金一个月，再加上谷歌的和亚马逊的，这才是大头。把这两块加在一起以后，Anthropic每个月的算力支出大概是60亿美金。所以这个距离盈利还是很有差距的。</p>



<p class="wp-block-paragraph">现在我们能够看到它的5.59亿美金，就是一个财务上的数据。实际上Anthropic把很多的算力投入、很多的研发投入，都记录成为一个需要长期折旧的资产，不是当期就直接给它记进去了。所以它的自由现金流一定是很难看的，只是在财务上让大家觉得这事好像是有机会了。</p>



<p class="wp-block-paragraph">所以这一次盈利，不是说Anthropic从此就稳定赚钱了，而是说IPO之前怎么拍一个定妆照。我们马上要IPO了，坐在这儿照个相，现在高光时刻，把它拍下来。</p>



<h3 class="wp-block-heading">为什么这张“定妆照”好看？</h3>



<p class="wp-block-paragraph">这张照片为什么好看？有几个原因。</p>



<ol class="wp-block-list">
<li>收入确实在暴涨。Anthropic说了，年化收入可能已经超过470亿美金。刚才咱们算的是436亿，是按照它一个季度109亿算的。那么这470亿是什么？就是4月份、5月份这个收入肯定还在涨，它是按最高一个月的收入乘12来算的，这就是年化收入的算法。</li>



<li>SpaceX算力合同前期是有折扣的，所以现在这12.5亿美金一个月的数没算进去。</li>



<li>很多基础设施的支出不一定都一次性打到当季的损益里头去，可能会成为长期资产，未来几年会去折旧，而且也会在一些合同执行的过程中逐步进行确认。比如它跟谷歌签的这种算力协议，跟亚马逊签的这些算力协议，不会马上一把全都给它算进去。虽然这些算力协议已经让谷歌的股价涨上去了，已经让亚马逊的股价涨上去了，但是在Anthropic这儿，这不能马上就算。</li>
</ol>



<p class="wp-block-paragraph">所以账面利润是正的，不等于自由现金流是正的，更不等于算力账单没有压力。这个事情不能说它是假盈利，但它是非常依赖会计时点的盈利。</p>



<p class="wp-block-paragraph">它说明Anthropic有能力把利润表做出一个正数来，但是不能证明它已经跨过了烧钱阶段。真正要看的是第三季度、第四季度，看SpaceX折扣期结束以后，看云和芯片合同真正压上来以后，它还能不能盈利。实际上也就是看未来这几个季度，它的收入能不能跟上这些费用的增长。</p>



<h2 class="wp-block-heading">OpenAI真的被超过了吗？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_08.jpg" alt="两只数据天平分别标着3月31日和5月底，OpenAI与Anthropic收入柱状图被不同日历隔开，旁边放着同口径比较的放大镜，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">第五，OpenAI是不是真的被超过了？是不是被甩开了？这里要跟大家讲一个咱们在投资圈里边非常重要的观念：<strong>任何的数据都不能脱离时间。</strong>你用今天的数据跟另外一家公司去年的数据比，这没有任何意义。</p>



<p class="wp-block-paragraph">很多人都说，Anthropic已经超越OpenAI了，是世界第一的AI公司了。这个事情其实非常不严谨。Anthropic年化收入470亿美金，OpenAI只有240亿美金，这句话应该怎么看？</p>



<p class="wp-block-paragraph">OpenAI最新的口径是2026年3月31日，它的年化收入是240亿美金。它当时完成了一轮1,220亿美金的融资，投后估值是8,520亿美金。当时的收入是每个月20亿美金，所以就是一年240亿美金，大概是这样来算的。</p>



<p class="wp-block-paragraph">而Anthropic这个470亿美金的年化收入，是5月底披露的口径，这里头差好几个月。而这几个月正在发生天翻地覆的变化，OpenAI这几个月的数据难道就不涨吗？肯定在涨。但到底涨了多少，我们还要等官方的数据出来。</p>



<p class="wp-block-paragraph">所以任何披露的数据、任何要去比较的数据，很重要的一点就是它们必须是在同一个口径下、同一个时间点上。目前来说，我们并没有同一个口径、同一个时间点里头OpenAI跟Anthropic的数据比较。</p>



<p class="wp-block-paragraph">所以也不要上来就狂欢说，Anthropic超过OpenAI了，把OpenAI甩了好几条街。这个话是非常非常不严谨的。</p>



<h2 class="wp-block-heading">这是不是泡沫之前的大逃杀？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_09.jpg" alt="1999互联网IPO队伍和2026 AI巨头队伍在同一扇IPO窗口前排队，背景是一条先冲高后下坠的纳斯达克曲线和漂浮泡沫，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">第六，这一次到底是不是泡沫之前的大逃杀？为什么我说这一次AI企业的集中上市有可能是大逃杀？因为今年的画面实在是太像1999和2000年了。</p>



<p class="wp-block-paragraph">互联网泡沫破裂前夜，是一堆公司拼命冲IPO。当时所有人都说互联网要改变世界，这句话现在看对吗？没有任何问题，互联网确实改变了世界。</p>



<p class="wp-block-paragraph">但是当时很多互联网公司股票的价格是错的，而且很多当时的互联网公司并没有活到真正改变世界的那一天。技术革命是真的，股票泡沫也是真的，这两件事情可以同时发生。</p>



<h3 class="wp-block-heading">1999到2000年的历史数据</h3>



<p class="wp-block-paragraph">咱们来看几个数据。1999年上半年，仅仅是半年，美国互联网公司相关的IPO是114个，募资了97.5亿美金。1998年上半年同期，类似的IPO只有21个。1998年全年也只有42个互联网公司去做IPO。</p>



<p class="wp-block-paragraph">高盛回顾那段历史的时候说，纳斯达克1999年一年涨了86%，快翻倍了。到了2000年的3月10号，纳斯达克冲到了5,048点，算是一个高峰点，也就是互联网泡沫的顶。然后泡沫就开始破灭，一直到2002年的10月4日，纳斯达克跌到了1,139.90点，从高点跌了大约77%。</p>



<p class="wp-block-paragraph">而讽刺的是什么？泡沫不是没有人上市的时候破的，泡沫往往是大家最想上市的时候破的。</p>



<p class="wp-block-paragraph">Palm，也就是当时做PDA的一个公司，后来被惠普收购了，2000年3月1日上市。3月10号泡沫顶点，它在这个时候上市了。</p>



<p class="wp-block-paragraph">2000年3月14号，有一个英国互联网公司上市，它这个名字特别应景，叫Lastminute.com，最后一分钟。3月17号，World Online是个荷兰公司，这名字多好，世界在线，它也跑去上市了。</p>



<p class="wp-block-paragraph">现在谁还听说过刚才咱们讲的这三家公司？Palm到惠普手里边，最后还是把牌子给作废了；Lastminute.com这个“最后一分钟”公司现在在干嘛，不知道；World Online，有谁听说过这公司现在在干嘛？反正我是不知道。这都是最后时间点冲上市的。</p>



<p class="wp-block-paragraph">所以历史给今天的提醒，不是AI一定会崩，也不是只要上市就有风险。真正的提醒是：当最好的公司也开始集体抢窗口上市的时候，当投资人把未来10年的好消息一次性都提前兑付的时候，当所有人都说这一次不一样的时候，你就要小心了。</p>



<h3 class="wp-block-heading">今天和2000年不完全一样</h3>



<p class="wp-block-paragraph">今天和2000年也有不完全一样的地方。不是几百家互联网小公司一起冲，而是三家巨头。当时你想，上百家公司才融了几十亿美金，不到100亿美金出来。</p>



<p class="wp-block-paragraph">而现在的话，SpaceX是1.75万到2万亿美金的估值，OpenAI也是一个上万亿美金估值的公司，Anthropic上市的时候也绝对是超过万亿美金了。三家加起来可能会从股市上抽出一两万亿美金出来，这是非常非常恐怖的。</p>



<p class="wp-block-paragraph">大家想过互联网泡沫是怎么破的吗？很多人在当时其实并没有想清楚互联网到底怎么改变世界，就开始冲了。他们所做的很多设想，其实最后是错误的，并没有解决真实的需求，没有获得真实的收入。</p>



<p class="wp-block-paragraph">他们前面烧掉的钱，前面挖出来的窟窿，后面补不上了，互联网泡沫就破掉了。破掉以后，再重新摸索互联网到底应该怎么改变世界，到底应该从哪里获得收入，让整个经济世界、整个经济社会重新适应了互联网时代以后，再去给互联网讲出新的故事来，再有新的收入进来，它是这样的一个过程。</p>



<p class="wp-block-paragraph">其实现在AI的状态非常像。每个人都在讲AI要改变世界，但是AI到底怎么改变世界，AI改变了以后的世界到底长什么样，其实谁也说不清楚。</p>



<p class="wp-block-paragraph">AI到底能挣多少钱，不知道；但是AI能花多少钱，咱们知道。刚才咱们讲了Anthropic盈利的故事，钱都已经花出去了，后边它盈利增长的速度到底能不能赶上它花钱的速度，这就是真正大家要去抢的东西。</p>



<p class="wp-block-paragraph">如果今年SpaceX和Anthropic上市了，OpenAI被落下了，那OpenAI可能就会在黎明前的黑暗直接倒下。在它的收入没有办法覆盖的时候，它的支出就直接把它的现金流耗干净了。这是他们真正害怕的地方。所以我在想，这有可能就是AI时代的IPO大逃杀了。</p>



<h2 class="wp-block-heading">结语：AI会改变世界，但不是每家公司都能笑到最后</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/blog_10.jpg" alt="三家AI公司站在现金流断桥前，桥对岸是写着改变世界的未来城市，脚下堆着算力账单、收入曲线和Pre-IPO筹码，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">最后咱们要讲，Anthropic不是一个孤独的事件，它是2026年AI上市潮的一个样本。它的动作太密集、太精准：先清场，再盈利，再融资，然后发模型，再把估值停在9,650亿美金的位置上，差一口气就到1万亿美金了。</p>



<p class="wp-block-paragraph">这个位置很微妙，它既能告诉市场，我已经是万亿美金候选人了，又能保留一点空间，上市那天还能往上冲一冲。老钱其实已经都坐在车上，等着大家去接他们手里的筹码了。</p>



<p class="wp-block-paragraph">真正的问题跟当年的互联网时代是一样的：它的收入到底能不能赶上它的支出？能不能在它的现金流断裂之前，把这个窟窿给补上？这是当年互联网泡沫的时候，很多公司没有回答掉的问题。</p>



<p class="wp-block-paragraph">但是当年互联网泡沫的时候，谷歌等等这些跨越了周期的公司，很好地回答了这个问题。到今天，就要轮到Anthropic、OpenAI和SpaceX AI去回答这个问题了。</p>



<p class="wp-block-paragraph">AI会改变世界，这一点我始终坚信不疑。但不是每一个在泡沫顶点上市的AI公司都能够笑到最后，这就是Anthropic这一轮Pre-IPO融资最值得警惕的地方。</p>



<p class="wp-block-paragraph">好，今天的故事就讲到这里。感谢大家收听，请帮忙点赞、点小铃铛，参加Discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-pre-ipo-funding-ai-bubble/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>教皇发布AI通谕——为什么只有Anthropic可以出现在梵蒂冈？</title>
		<link>https://lukefan.com/2026/05/29/pope-leo-xiv-ai-encyclical-human-dignity/</link>
		
		<dc:creator><![CDATA[老范 讲故事]]></dc:creator>
		<pubDate>Fri, 29 May 2026 01:02:29 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[AI伦理与人类尊严]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic宪法AI治理]]></category>
		<category><![CDATA[Claude宪章]]></category>
		<category><![CDATA[利奥十四世AI时代人的位格]]></category>
		<category><![CDATA[教皇AI通谕]]></category>
		<category><![CDATA[梵蒂冈人工智能伦理]]></category>
		<category><![CDATA[罗马教皇谈AI]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3802</guid>

					<description><![CDATA[本文解读教皇AI通谕的核心问题：在人工智能时代，人的尊严、劳动价值与道德责任该如何被保护。内容围绕利奥十四世通谕、135年前《新事通谕》的历史呼应、Anthropic与梵蒂冈同台的意义展开，分析AI时代人的尊严、AI不是中立工具、模型权力集中、AI替代就业风险、自动化武器伦理等关键议题，并进一步讨论Claude宪章伦理与外部监督为何成为AI安全争论的焦点。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="教皇AI通谕——为什么只有Anthropic可以出现在梵蒂冈？" width="900" height="506" src="https://www.youtube.com/embed/5T2zHBa9aj4?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_1.jpg" alt="梵蒂冈穹顶下的长桌两端分别放着教皇通谕卷轴与发光 AI 芯片，中间是一座写着“人的尊严”的天平，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<h2 class="wp-block-heading">罗马教皇到底对 AI 时代下了一个什么样的圣谕？</h2>



<p class="wp-block-paragraph">大家好，欢迎收听老范讲故事的 YouTube 频道。这个事非常反差：2026 年，一个全世界最古老的宗教组织，开始给全世界最先进的 AI 公司上伦理课了。</p>



<p class="wp-block-paragraph">地点是在梵蒂冈，主角是罗马教皇利奥十四世。这位罗马教皇是个美国人，旁边坐着的是 Anthropic 的联合创始人。这就很有意思了：一个是拥有 2000 年历史的罗马教廷，一个是成立才几年的 AI 独角兽；一个讲灵魂、尊严、良知，一个讲模型、算力、对齐、可解释性。结果他们坐在同一个屋子里，讨论同一个问题：<strong>AI 到底会不会把人类重新定义一遍？</strong></p>



<p class="wp-block-paragraph">今天咱们就分三层来拆解一下：</p>



<ol class="wp-block-list">
<li>第一层，这份文件到底是什么？是不是罗马教皇随便发了一个讲话？</li>



<li>第二层，为什么偏偏是利奥十四世？为什么偏偏要对应 135 年之前利奥十三世发的《新事通谕》？</li>



<li>第三层，Anthropic 到底在这里边扮演了一个什么样的角色？它是来影响教皇的吗？还是来借助教皇的道德信用，给自己在 AI 安全路线上找盟友的呢？</li>
</ol>



<span id="more-3802"></span>



<h2 class="wp-block-heading">教皇到底发了一个什么东西？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_2.jpg" alt="一份写着“通谕”的羊皮卷展开在讲台上，旁边悬浮着神经网络节点和小型十字架标识，画面用箭头标出“时代问题”和“伦理坐标”的关系，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">2026 年 5 月，罗马教皇利奥十四世发布了他的第一份通谕，就是他当上教皇以后第一次发通谕。题目翻译过来应该是《伟大的人性》，或者《壮丽的人性》，副标题的大意是“在人工智能时代保护人的位格”。</p>



<p class="wp-block-paragraph">这不是一个普通的演讲。在罗马天主教的文件体系里，通谕是教皇对于整个教会，甚至是所有善意之人发表的重要教导文件。它不是最高级别的教会法律文件，最高、最正式的通常是教廷宪章，一般用于重大教廷制度、法律、教义、礼仪结构安排。通谕更像是教皇用来回应时代大问题的最高级别公共议论文。</p>



<p class="wp-block-paragraph">所以这份文件分量是很重的。它不是教皇随便发了个朋友圈，也不是梵蒂冈办公室发研究报告，而是教皇以自己的牧职权威，给这个时代画出的一个伦理坐标。</p>



<p class="wp-block-paragraph">大家会在视频上看到一个开会的场景，那是 5 月二十几号的。教皇坐在前头，下面一群人穿着黑色衣服，戴着红帽子，旁边是 Anthropic 的联合创始人。但是这个文件上写的是 5 月 15 日。</p>



<p class="wp-block-paragraph">5 月 15 日代表什么？135 年前，1891 年的 5 月 15 日，当时的教皇利奥十三世发布了一个文件，叫做《新事通谕》。《新事通谕》讨论的是工业革命之后，资本、工人、财富差距、工会权利、私有财产、国家责任之间的关系。</p>



<p class="wp-block-paragraph">你看这个结构就很清楚了。19 世纪，机器进入工厂，人被卷进了资本和劳动的冲突；21 世纪，AI 进入了办公室、学校、军队、媒体、家庭，人被卷入了数据、算法和算力的冲突。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_3.jpg" alt="左侧是蒸汽工厂里工人与齿轮，右侧是办公室中白领被数据云和算法线路环绕，中间用时间轴连接 1891 与 2026，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">所以利奥十四世不是随便挑了一个日子。他是在说，当年工业革命需要一份社会通谕，今天 AI 革命也需要一份社会通谕。今天的 AI 革命，真的是在工业革命之后，对整个社会有巨大改变的一次新的革命。</p>



<h2 class="wp-block-heading">135 年前的《新事通谕》讲了什么？</h2>



<p class="wp-block-paragraph">讲到这里，135 年前利奥十三世到底说了些什么呢？</p>



<p class="wp-block-paragraph">《新事通谕》之所以重要，就是因为它没有简单地站队，说我们要站在工人一边、站在国王一边，还是站在资本家一边。没有。它既反对社会主义式的财产全盘公有，也反对资本主义放任压榨。</p>



<p class="wp-block-paragraph">利奥十三世当时讲的主要是几件事：</p>



<ol class="wp-block-list">
<li>工人不是机器零件，劳动者有尊严，不能被当成可替换的耗材。</li>



<li>私有财产有正当性，但财产不能脱离社会责任。</li>



<li>国家不能完全撒手不管，它要保护弱者，尤其是在劳资力量不对等的时候。</li>



<li>工人有结社、组织工会、争取合理工资和工作条件的权利。</li>



<li>社会不能只靠阶级斗争解决问题，也不能假装市场会自动变得善良。</li>
</ol>



<p class="wp-block-paragraph">第五条其实很重要，因为马克思要求的就是阶级斗争、暴力革命，而资本主义要求的是你不要去管它，交给市场就好了，市场经济自然会进行调节。教皇说，这两头都是有问题的。</p>



<p class="wp-block-paragraph">这套话放到 2026 年的 AI 场景里，几乎可以逐句替换。当年的问题是：机器提高了生产效率以后，利润归谁，代价谁来承担？今天的问题是：AI 提高生产效率以后，收益归谁，失业谁来承担，责任谁来承担？</p>



<p class="wp-block-paragraph">当年资本家拥有工厂和机器，今天大公司拥有模型、数据、芯片、云和分发渠道。当年工人担心被机器压低工资，今天是白领、程序员、设计师、客服、翻译、内容创作者担心被模型吞掉岗位和议价权。</p>



<p class="wp-block-paragraph">这就是这份 AI 通谕真正的历史入口。它不是突然从天上掉下来的一篇 AI 评论，而是在接续天主教社会训导的一条老线：<strong>技术进步可以被欢迎，但不能用人的尊严来买单。</strong></p>



<h2 class="wp-block-heading">这一次的通谕讲了什么？</h2>



<p class="wp-block-paragraph">这份文件的核心不是 AI 有没有意识，这是科幻争论。这次有几个现实问题。</p>



<h3 class="wp-block-heading">第一，AI 不是人</h3>



<p class="wp-block-paragraph">教廷其实 2025 年就已经发布了一份叫《古旧与新事》的文档，专门讨论人工智能和人类智能的关系。那份文件强调，AI 可以模仿人类智能的产出，但它没有身体的经验，没有情感的成长，没有道德责任，也没有从内部理解世界的能力。</p>



<p class="wp-block-paragraph">利奥十四世这一次继续沿着这条线说，不要被 AI 的拟人表达迷惑了。它会说“我理解你”，不等于它真的理解你；它能够生成祷告文，不等于它能够成为牧者；它能够模拟情绪，不等于它有良知。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_4.jpg" alt="一个会说“我理解你”的聊天气泡机器人戴着人脸面具，旁边站着有心脏、脚印和责任徽章的人类形象，二者之间用虚线区分“模仿”和“理解”，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">估计教会的这些牧师现在写祷文，可能也是用大模型去写了。利奥十四世作为教廷最高领导人说，这个还是有点问题的。</p>



<h3 class="wp-block-heading">第二，AI 不是中立的工具</h3>



<p class="wp-block-paragraph">这一点非常重要。</p>



<p class="wp-block-paragraph">很多技术公司都喜欢说，技术本身是中立的，关键看人怎么用。原来咱们讲，菜刀是不会作恶的，举着菜刀的人可以选择是切菜，还是去砍人。但是现在 AI 不是这样了。AI 不是一把锤子，它由谁来训练，用什么数据，追求什么指标，服务什么商业模式，本身都是带有价值判断的。不要再上来说 AI 是中立的，不要讲这话。</p>



<h3 class="wp-block-heading">第三，AI 会集中权力</h3>



<p class="wp-block-paragraph">AI 最大的问题之一，不是它太聪明了，而是它太贵了。前沿模型需要算力、芯片、数据、云基础设施和巨额融资，这意味着 AI 的控制权很容易集中在少数公司、少数国家和少数资本手中。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_5.jpg" alt="少数几只巨大手掌托起芯片、数据中心、云服务器和美元符号，底部许多小人物仰望并排队接入模型入口，构图突出权力集中，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">现在我们要去训练 AI，第一件事要有芯片，第二件事要有钱，第三件事要有人。而人，大部分都是中国人。所以现在基本上就是中美两国，以及中美两国的公司，在去集中 AI 的权力。</p>



<h3 class="wp-block-heading">第四，AI 会重塑劳动</h3>



<p class="wp-block-paragraph">教皇真正关心的不是程序员会不会失业这么窄的问题，而是更大的问题：如果大量岗位被替代了，社会有没有新的分配机制？如果效率提升都变成了公司利润，普通人的尊严从哪里来？</p>



<p class="wp-block-paragraph">这也是教皇为什么实际上否定了硅谷式的 UBI。UBI 就是普遍福利制度，就是给大家发钱。马斯克说要给大家发好多钱，山姆·奥特曼也说要给大家发福利、发钱。这个事是教皇否定的。</p>



<p class="wp-block-paragraph">不是因为他反对救济，而是因为他不接受人被降级为领补贴的剩余人口这件事情。尤瓦尔·赫拉利就讲过，新的时代里很多人会变成无用阶级。教皇的看法是，你发福利可以，但是这可能只是一个临时的事情。如果你长期发福利，人就会失去尊严和意义，这是不可接受的。</p>



<h3 class="wp-block-heading">第五，AI 不能成为战争机器</h3>



<p class="wp-block-paragraph">这也是教廷一直很重视的部分。自动化武器、无人决策、算法化目标识别，可能把战争从人的道德判断中抽离出来。到最后，不是人决定要不要杀人，而是系统推荐、模型判断、流程执行。这个也是不可以的。</p>



<p class="wp-block-paragraph">这件事其实就是前面 Anthropic 跟美国战争部长赫克塞斯之间吵的这个事情。Anthropic 说，我不能让 AI 去扣扳机，不能让 AI 去按按钮。你可以用 AI 去分析所有这些数据，但是最后一定要由人来做判断。教皇也在强调这一点。</p>



<p class="wp-block-paragraph">其实并不是说 AI 会做出不利于人的判断，而是人会推卸责任。你一旦说这个判断是由 AI 做的，那么人就可以很心安理得地接受一些非常残酷的事情。这个是不可以的。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_6.jpg" alt="一只人类手掌按住写着“最终判断”的红色按钮，远处有无人机、算法瞄准框和警示三角标，旁边的 AI 面板被锁链限制，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这就是这次教皇讲的东西。他讲的最核心的是什么？就是跟 135 年前一样，时代进步了，效率提升了，但是人的尊严还是要去捍卫。</p>



<h2 class="wp-block-heading">Anthropic 的 Chris Olah 为什么会出现？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_7.jpg" alt="年轻 AI 研究者站在半透明黑箱模型旁，用放大镜观察里面的神经网络齿轮，远处是梵蒂冈会议桌与红帽主教剪影，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">讲完教皇以后，再讲一下这位 Chris Olah。</p>



<p class="wp-block-paragraph">这次非常戏剧性的画面，就是 Anthropic 派出来的不是 CEO 达里奥·阿莫迪，而是他的一位联合创始人 Chris Olah。这个人在 Anthropic 里专门负责模型可解释性。</p>



<p class="wp-block-paragraph">什么意思呢？对于我们来说，你向模型提了个问题，然后它哗哗哗给你吐一堆答案出来，但是里头到底是怎么干活的，其实谁也不知道。Chris Olah 专门负责这件事情，就是在模型工作的过程中，在里边设置各种数据观察窗口，让它反馈：我现在到底利用了哪块区域，利用了哪些决策，怎么做的判断，得到了一个什么样的结果。他专门做这件事，希望从中找到模型真正工作的底层机理。</p>



<p class="wp-block-paragraph">从图片和视频上看，Chris 非常年轻，脸简直嫩得一塌糊涂，绝对是娃娃脸。当然人家肯定也已经成年了。这个人大概现在 33 岁，是一个加拿大人，没有经历过正规的大学教育。他考上大学了，但是没上，所以不是本科生，不是硕士生，不是博士生。</p>



<p class="wp-block-paragraph">他接受过彼得·蒂尔的青年创业奖学金。彼得·蒂尔设立过奖学金，奖励这些 20 岁以下的青年创业者。他拿到过这笔钱。拿完这笔钱以后，他加入了谷歌大脑，也就是 Google Brain，做神经网络可视化相关工作，参与过 DeepDream 一类的项目。后来他去了 OpenAI，再往后跟达里奥·阿莫迪一起离开 OpenAI，创办了 Anthropic。是这样一位神奇的人物。</p>



<p class="wp-block-paragraph">他的核心标签不是 AI 产品经理，也不是程序员，而是一个试图打开黑箱的人。</p>



<p class="wp-block-paragraph">这就解释了为什么梵蒂冈愿意让他出现在发布现场。因为教皇讲的是人不能被机器重新定义，Chris Olah 讲的是机器本身也不能由少数公司关起门来定义。但是作为一个做闭源大模型公司的联合创始人来说，他去讲这个话，稍微有一些别扭。</p>



<p class="wp-block-paragraph">他在梵蒂冈的表态大意是，AI 的发展不能只交给科技公司，需要宗教团体、政府、公民社会、学者共同参与。</p>



<p class="wp-block-paragraph">现代社会应该分成三块：第一块是政府，第二块是企业，剩下的都算是公民社会，像教育机构、宗教团体、NGO，这些都属于公民社会。</p>



<p class="wp-block-paragraph">他认为，前沿 AI 公司面临商业竞争、地缘政治、个人声望等多重压力，这些压力可能和社会整体利益相冲突。所以虽然 Anthropic 自己是一个闭源的大模型公司，但是他说，我愿意把治理这一块，包括怎么做模型的一些决定权交出来，交给宗教团体、政府、公民社会和学者一起来制定。</p>



<h2 class="wp-block-heading">Anthropic 的宪法 AI 与宗教伦理</h2>



<p class="wp-block-paragraph">因为大家知道，Anthropic 玩的那个东西叫做宪法 AI。它专门做了一个东西叫 Claude 宪章，先训练这个宪法 AI，然后再在宪法 AI 的基础上调整和训练它的 Claude 大模型。</p>



<p class="wp-block-paragraph">这个宪法 AI，不能让 Anthropic 自己关起门来搞。它说，我们打开门，你们一起都来参与进来。它等于是承认了什么？哪怕是自称最重视安全的 AI 公司，也不能只靠自律。也就是说，这个事你不要相信我，我们要去相信大众。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_8.jpg" alt="一张圆桌上摊开写着“Claude 宪章”的文件，工程师、神父、学者、政府代表和公众人物把不同颜色的价值卡片放到文件上，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这里要讲一个比较有意思的事情：Anthropic 这个公司是不是一个天主教公司呢？</p>



<p class="wp-block-paragraph">这要小心一点，因为我们讨论这些公司的宗教属性，对于美国来说政治不是特别正确。</p>



<p class="wp-block-paragraph">首先，它的 CEO 叫达里奥·阿莫迪，这个人出生在一个意大利和犹太裔的混合家庭里。他父亲是意大利裔，母亲是犹太裔。但是并没有一个明确的公开报道说，阿莫迪到底是不是信天主教。</p>



<p class="wp-block-paragraph">在 Claude 宪章里，确实有一些宗教人士参与。能够确定的宗教人士有三个：</p>



<ul class="wp-block-list">
<li>第一个人叫 Father 什么什么，一般叫 Father 就是神父。这个人是一位天主教神父，原来是个程序员，后来做技术管理，后面皈依了天主教，上了教会学校。回到美国以后，他应该也是在硅谷某一个教区的神父。</li>



<li>另外一个人是罗马教廷的一位天主教主教，专门负责罗马天主教会的一些文化输出相关的事情。</li>



<li>还有一个人是 Santa Clara 大学的一个主任。罗马教廷的这位神父、硅谷这位神父与 Santa Clara 大学一起组建了这样的一个研究会。刚才我们讲的那位神父是有教职的，从罗马教廷派出的主教也是有教职的，但是这个大学教授没有教职。</li>
</ul>



<p class="wp-block-paragraph">所以 Anthropic 这个公司并没有强调自己是天主教公司，也没有强调说，我们的 Claude 宪章都是请天主教的宗教人士来参与的。但实际上 Claude 宪章里参与制定的这些人，除了人类学家、社会学家、哲学家之外，所有跟宗教相关的人，都是来自于罗马天主教会。</p>



<p class="wp-block-paragraph">Anthropic 的 Claude 宪章大量使用善良、智慧、德行、责任、人格、道德不确定性这样的词语。它还公开承认，Claude 的宪法直接影响模型行为，是公司对 Claude 价值和行为的正式描述。</p>



<p class="wp-block-paragraph">所以这里更准确的说法是，Anthropic 在做 AI 对齐的时候，愿意从哲学、伦理学、宗教传统、公众参与里拿资料。它不是纯粹的工程师说了算的路线。像很多 AI 公司，特别是中国这些 AI 公司，基本上是老板说了算，这个要更吓人一点点。</p>



<h2 class="wp-block-heading">其他 AI 公司与宗教背景</h2>



<p class="wp-block-paragraph">其他一些公司是什么样的呢？</p>



<p class="wp-block-paragraph">首先，OpenAI 的山姆·奥特曼是个犹太人。他自己讲的是：我是犹太人，但是我并没有那么宗教化。OpenAI 想做的是什么？他说，我们要把通用人工智能做出来，再想办法让它造福人类。</p>



<p class="wp-block-paragraph">xAI 要做的是，我们要做一个敢说真话、尽量不被政治正确绑架的模型。</p>



<p class="wp-block-paragraph">马斯克是一个什么宗教，大家知道吗？马斯克是圣公会受洗的教徒，但是现在他讲的是，我现在也不是一个特别严格的基督教徒。他说，我现在算是文化基督教者，就是我认为基督教是好的，基督教的教义是有智慧的，但是也没有那么严格。他算是一个相对比较世俗的基督教徒，其实跟山姆·奥特曼差不多。山姆·奥特曼是一个相对比较世俗的犹太人，应该这么来讲这个事。</p>



<p class="wp-block-paragraph">剩下的就是谷歌。谷歌现在更像是什么？我们有技术，有产品，有搜索，有生态，但是内部价值和商业利益总是互相拉扯。谷歌现在的 CEO 是皮采，他是一个印度人，来自于印度教家庭。他父母肯定是信印度教的，至于他自己，没有公开报道确认他到底信什么教。有些说他有可能是信基督教的，但是这个报道的媒体并不是特别靠谱，所以我们就不管它了。</p>



<p class="wp-block-paragraph">现在还有一位来自印度教家庭的是谁呢？就是微软的 CEO 纳德拉。至于他现在信什么教，没有一个确定的说法。</p>



<p class="wp-block-paragraph">所以 Anthropic 现在干的活更像是什么？就是我们承认这东西有危险，所以必须把安全、宪法、外部监督做成品牌的一部分，而且我们也愿意把这部分开放出来。你们现在参与进来，底层的 Claude 宪章由你们来定，不是我自己拍脑袋来定的。</p>



<p class="wp-block-paragraph">所以 Anthropic 跑去跟梵蒂冈同台了。这不说明它是宗教公司，它说明另外一件事情：<strong>AI 安全已经从技术圈内部讨论，变成了一个公共伦理战争。</strong></p>



<p class="wp-block-paragraph">而且刚才咱们捋了一下这么多公司老板，也只有 Anthropic 可以去。像马斯克自己是新教的，他也不太适合去；山姆·奥特曼是犹太教的，他也不太适合去；剩下的微软和谷歌，两个印度教背景的，也不太适合去。所以能去梵蒂冈的只有 Anthropic。</p>



<p class="wp-block-paragraph">其他宗教跟机构其实也在发表相关看法，只是没有像罗马教廷的利奥十四世这样，直接发了一个很完整的通谕。</p>



<h2 class="wp-block-heading">这对 AI 公司意味着什么？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_9.jpg" alt="多家 AI 公司标志化的模型赛车在赛道上竞速，赛道中央竖着写有“外部审计”“价值对齐”“人的位格”的路牌和道德指南针，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这对于现在这些 AI 公司来说，到底意味着什么呢？</p>



<p class="wp-block-paragraph">AI 公司不会因为教皇说要谨慎，就放慢 OpenAI、Anthropic、谷歌、Meta、xAI 这些模型的竞赛。现在这些大模型公司面临最大的压力，不是说我是不是给人造成失业了，我是不是要赔钱。它面临最大的压力是竞争，谁能够笑到最后。</p>



<p class="wp-block-paragraph">面临这么大压力的时候，怎么能够坚守本心？这才是这一次 Anthropic 跑去罗马教廷说，您站出来说一句公道话。再怎么打出狗脑子来，咱们还要坚持本心，要把人的位格放在比较高的位置上。这就是他们现在去做的事情。</p>



<p class="wp-block-paragraph">至于中国，更不会停止了。大模型、具身智能、智能体、算力中心和军民融合，我们肯定会继续往前走。像中国，有一部分是无神论者，还有很多中国人其实是不可知论者。我们发现教皇发了这个圣谕出来，会去好好阅读一下，也去思考一下，这个事是没问题的。</p>



<p class="wp-block-paragraph">因为教皇也说了，天主教的圣谕不只是发给天主教内部的，也发给所有的善意者。我们应该还算是善意者吧。</p>



<p class="wp-block-paragraph">所以这一次的教皇圣谕，对于这些 AI 公司提出了新的要求：</p>



<ul class="wp-block-list">
<li>原来这些 AI 公司说自己很安全，但是外部能不能审计你？</li>



<li>你说自己对齐了，那对齐的是谁的价值？是我一定要成功、我一定要胜利、我一定要活下来，还是我一定要把别人干掉？中国这些 AI 公司到底对齐的是什么，谁也不知道。</li>



<li>你说自己提升效率了，那被替代的人怎么办？这个你也要一起来想办法。</li>



<li>你说自己服务于全人类，收益为什么集中在少数公司和少数国家呢？实际上就是集中在中美两国，其他国家都不会有这东西的收益。</li>



<li>你说 AI 没有意识，那为什么又用越来越像人的方式让用户来依赖它呢？</li>
</ul>



<p class="wp-block-paragraph">这就是教皇这一次提出的问题。他的核心就是一句话：<strong>你把人放在什么位置上了？</strong></p>



<h2 class="wp-block-heading">真正的核心，还是人</h2>



<p class="wp-block-paragraph">所以这一次教皇真正提出的核心观点，还要回到人身上。</p>



<p class="wp-block-paragraph">你可以想象这样的一个画面：梵蒂冈的一个大厅里，教皇坐在那里，旁边是一个 33 岁的 AI 安全研究者。他们一个来自古老的教会，一个来自硅谷实验室。他们看起来不像同一个世界的人，但他们其实在面对同一个问题：当机器越来越像人，到底还剩下什么？</p>



<p class="wp-block-paragraph">我的答案是，人不能只剩下效率，人不能只剩下劳动价值，人不能只剩下数据画像，人也不能只剩下被模型预测、被平台分发、被系统管理的一串概率。</p>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/blog_10.jpg" alt="一个普通人站在画面中心，身边的数据画像、效率仪表盘、劳动价格标签和概率曲线逐渐退到外围，人物脚下亮起“尊严”和“意义”的圆形底座，浅色背景的商业评论版橡皮泥平面信息图的统一风格。"/></figure>



<p class="wp-block-paragraph">这就是利奥十四世这一份 AI 通谕的真正价值。它未必能够改变 AI 竞赛，大概率改变不了；它也未必能够说服所有的科技公司。但是它把一个最根本的问题重新放回桌面：AI 时代，我们到底是在造更好的工具，还是在偷偷地消灭人的价值？</p>



<p class="wp-block-paragraph">这才是今天真正值得讲的故事。</p>



<p class="wp-block-paragraph">好，这个故事就讲到这里。感谢大家收听，请帮忙点赞，点小铃铛，参加 Discord 讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/pope-leo-xiv-ai-encyclical-human-dignity/background_1.jpg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Claude KYC上线：中国开发者影响解析</title>
		<link>https://lukefan.com/2026/04/17/anthropic-claude-selective-kyc-china-user-crackdown/</link>
		
		<dc:creator><![CDATA[老范 讲故事]]></dc:creator>
		<pubDate>Fri, 17 Apr 2026 00:57:21 +0000</pubDate>
				<category><![CDATA[AIGC]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Anthropic 实名认证]]></category>
		<category><![CDATA[Claude KYC]]></category>
		<category><![CDATA[Claude 封号]]></category>
		<category><![CDATA[Claude 身份验证]]></category>
		<category><![CDATA[OpenRouter Claude 限制]]></category>
		<category><![CDATA[Persona 中国护照不支持]]></category>
		<category><![CDATA[中国开发者 Claude]]></category>
		<guid isPermaLink="false">https://lukefan.com/?p=3704</guid>

					<description><![CDATA[Claude KYC 已正式进入讨论中心，这篇文章聚焦 Claude 身份验证、实名认证弹窗与中国开发者受影响范围，拆解 Anthropic 此次动作到底是反蒸馏，还是反薅羊毛。文中围绕 Claude KYC 触发条件、封号机制、Persona 中国证件支持、OpenRouter 中国用户受限、API 用户是否受影响等关键问题展开，帮助你快速看清 Claude 实名认证背后的风控逻辑、使用门槛与真实风险。
]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Claude KYC上线后，真正先倒下的不是蒸馏者？" width="900" height="506" src="https://www.youtube.com/embed/5bPxAR-PBn0?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_1.jpeg" alt="昏黄羊皮纸背景上的现代门禁闸机与一张写着 Claude 的会员卡并置，闸机前站着程序员模样的人影，远处是抽象化的云端机房和护照自拍提示界面，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph"><strong>Claude 也要做 KYC，也要做实名认证了。</strong>中国程序员们的天塌了吗？</p>



<p class="wp-block-paragraph">大家先别急着骂 Anthropic 反蒸馏。你以为他这次真正想打击的是蒸馏他模型的人吗？其实未必。真正先被打击的，可能是另外一类人。</p>



<h2 class="wp-block-heading">一个健身房的比喻：Anthropic 真正在防谁？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_2.jpeg" alt="一家老式健身房的前台与闸机，三类会员形成鲜明对比：有人偷偷记教练动作，有人疯狂刷器械并把会员卡递给别人代刷，另一个人办卡后转身离开，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">设想一个场景：有一家健身房。</p>



<ul class="wp-block-list">
<li>第一种人想自己开健身房，于是进来偷师，报了所有课程，跟健身教练学完以后，回去自己开健身房。</li>



<li>第二种人办了健身卡进来，把所有羊毛都薅干净。我这个健身卡是一年的，我就天天来；我来不了的时候，还找别人替我来，一定要把所有能用的都用完。</li>



<li>第三种人是花了钱办健身卡以后，再也不来了。</li>
</ul>



<p class="wp-block-paragraph">那你说，健身房最喜欢哪种用户？肯定喜欢第三种。你交了钱，再也不来了。</p>



<p class="wp-block-paragraph">第一种人防得住吗？其实防不住。这一次真正去防的，是中间这种：办了健身卡，就一定要把所有便宜都占干净，自己来不了还要让别人替自己来。要干掉的是这帮人。</p>



<p class="wp-block-paragraph">所以大家想明白了没有？他并不是惦记着去搞那些蒸馏的人。第一拨人，就是跟着健身教练学，学完以后回去自己开健身房的人，这才是蒸馏的人。这些人你防不住。为什么防不住，待会再讲。</p>



<p class="wp-block-paragraph">这一次 Anthropic 干的事情，其实就是健身房升级了门禁系统，保证你必须是同一个人来，保证不会有人用一张健身卡多人进入，要把这种用量打下来，尽量让“花了钱不来的人”多一些。这才是真正的意图。</p>



<p class="wp-block-paragraph">至于反蒸馏，跟这次有关系，但关系真不大。它最大的关系，可能就是这次行动的一个借口，其他其实没什么意义。</p>



<span id="more-3704"></span>



<h2 class="wp-block-heading">为什么这件事会炸锅？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_3.jpeg" alt="笔记本电脑屏幕上弹出身份验证窗口，要求上传护照和实时自拍，桌前的中国开发者神情错愕，旁边散落着代码稿纸、信用卡和翻译便签，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">这个事情出来以后为什么炸锅了？因为现在 Claude 开始出现身份验证弹窗了。有些人确实已经弹了，要求提交政府证件，也就是护照、身份证这些东西，还要进行实时自拍，做人脸和证件核验。</p>



<p class="wp-block-paragraph">社区里的第一反应就是：完了，Claude 也要做实名制了，中国程序员以后别用了。</p>



<p class="wp-block-paragraph">一般讲&nbsp;<strong>KYC</strong>，通常是在币圈里讲，叫 Know Your Customer，也就是平台核实用户真实身份的一套风险控制机制。</p>



<p class="wp-block-paragraph">在 Claude 里，中国开发者一定占极大比例。因为本身中国开发者就多，而且中国开发者又愿意去用最好的模型。虽然国内也有些模型能用，但我见过很多开发者都跟我说，你自己的时间是有价值的，一定要买最贵的。因为模型的差价，对于模型质量来说，基本可以忽略不计。所以一定要用 Claude。</p>



<p class="wp-block-paragraph">前几周我跟姜变做节目时，他的“龙虾”挂的就是 Claude Opus 4.6，买的是 200 美金套餐。他给我的解释就是：我一定要买最好的。</p>



<p class="wp-block-paragraph">现在在 Claude 里，用量最高的一些人，实际上很多都是中国人。第一个人好像叫刘小排，也是我以前猎豹移动的一个同事。这些都是能登上全球榜榜首的人。那自然就一定要“收拾”你们，因为这是一帮特别喜欢薅羊毛、用量特别高的人。这样的用户，健身房不欢迎，Anthropic 也不欢迎。</p>



<h2 class="wp-block-heading">时间线：Anthropic 如何一步步收紧</h2>



<p class="wp-block-paragraph">Anthropic 在 2025 年 9 月就开始收紧中国 API 的访问了。</p>



<p class="wp-block-paragraph">2026 年 2 月，Anthropic、OpenAI、谷歌三家公司同时指控中国实验室蒸馏。</p>



<p class="wp-block-paragraph">2026 年 4 月 14 日，官方帮助中心更新了 KYC 说明；4 月 15 日起，用户将陆续收到弹窗。</p>



<p class="wp-block-paragraph">更残酷的现实是，这个闸机很可能根本不认你的证件。因为他们找的第三方 KYC 机构，压根就不承认中国护照这些东西。你上去说我想验证，根本没人理你。</p>



<h2 class="wp-block-heading">先把事实厘清：分三层来看</h2>



<p class="wp-block-paragraph">我们先把事实厘清，分三层来看：第一层是官方说法，第二层是事实认证，第三层是我的观点。</p>



<h3 class="wp-block-heading">第一层：官方说法</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_4.jpeg" alt="一张摊开的帮助中心文档页，上面写着 identity verification on Claude，旁边有放大镜、勾选框、IP 地址图标和护照照片框，像法务审阅文件的桌面场景，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">先说官方说法。2026 年 4 月 14 日，Anthropic 官方帮助中心更新了一个名为&nbsp;<strong>identity verification on Claude</strong>&nbsp;的文件。</p>



<p class="wp-block-paragraph">官方原文的措辞是：<strong>a few user use cases</strong>，也就是很少数的使用场景，不是全员强制。所以这是一种抽查，但具体抽到谁、没抽到谁，不会公布规则。</p>



<p class="wp-block-paragraph">触发条件包括：</p>



<ul class="wp-block-list">
<li>访问某些高级能力，比如让它做破解、做一些危险的事情，或者一些色情相关内容，都可能被视为“高级能力”；</li>



<li>例行的平台完整性检查，比如系统发现你的 IP 地址不对，或者一些跳转存在问题；</li>



<li>其他安全与合规措施，描述得比较宽泛，具体怎么筛选谁来拍照片，并不会说得很清楚。</li>
</ul>



<p class="wp-block-paragraph">现在它要求你的证件、账号、IP 地址必须“三码合一”。你说我提供一个泰国证件，那你的 IP 也得是泰国的，账号申请地区也得是泰国，不能中间有叉，一旦有叉就可能被干掉。</p>



<p class="wp-block-paragraph">API 用户方面，官方明确说明当前不在本轮影响范围内。也就是说，你开账号以后在里面用 API，这一轮没影响。因为 API 本身相对更贵，Claude 也贵。</p>



<p class="wp-block-paragraph">这也是为什么我说，这次主要处罚的是薅羊毛的人，而不是那些上你这来学课程、回去准备自己开健身房的人。因为那帮人是 API 客户，这次跟他们没关系。至于以后会不会再收拾，不好说。</p>



<h3 class="wp-block-heading">第二层：已经确认的事实</h3>



<p class="wp-block-paragraph">已经确认的事实是什么？</p>



<ol class="wp-block-list">
<li>Anthropic 帮助中心页面确实在 2026 年 4 月 14 日更新了 KYC 说明。</li>



<li>部分用户已经从 4 月 15 日开始收到 KYC 验证弹窗。</li>



<li>Anthropic 同期更新了 unsupported regions 销售限制说明，明确点名中国，告诉你中国是不支持的区域。</li>



<li>2026 年 2 月，Anthropic 指控 DeepSeek、Moonshot AI，也就是月之暗面，还有 MiniMax，创建了 24,000 个虚拟账号，通过 1,600 万次 API 调用蒸馏 Claude。</li>



<li>Anthropic 在 2025 年下半年封禁了 145 万个账号，力度非常猛。你可以申诉，但成功率只有 3.3%。所以封了以后，很多时候还不如再开一个，别费那个劲。</li>



<li>这次使用的是第三方 KYC 服务商，这也是 Anthropic 官方确认的。也就是说，你的姓名、护照照片、人脸这些信息，不会直接传到 Anthropic，而是交给一个第三方服务商处理。这个服务商叫 <strong>Persona</strong>，由它来做第三方认证。</li>
</ol>



<p class="wp-block-paragraph">问题在于，Persona 对中国大陆证件基本不支持。绝大部分中国大陆用户，没法通过验证。</p>



<p class="wp-block-paragraph">更麻烦的是，Persona 在 2026 年 2 月因为服务器配置错误，暴露了 2,456 个文件，包括证件照片、生物特征和 IP 等信息。Discord 也因此终止了和它的合作。也就是说，这家公司本身的安全性也没那么让人放心。</p>



<p class="wp-block-paragraph">另外，2026 年 4 月 16 日，OpenRouter 等代理渠道也出现了中国用户受限现象。什么意思？就是原来中国用户用中国信用卡充 OpenRouter，也可以用 Claude 模型；以后如果你是用中国信用卡充值的 OpenRouter，就不允许再使用 Claude 模型了。但这一块没有任何官方公告，就是直接给你封掉了，这也很奇葩。</p>



<h3 class="wp-block-heading">第三层：我的判断</h3>



<p class="wp-block-paragraph">我的判断是，很多人把这件事理解为反蒸馏，这个说法只对了一半。<strong>反蒸馏是这次事件的借口，不是核心诉求。这次 KYC 的核心诉求是反薅羊毛。</strong></p>



<h2 class="wp-block-heading">Anthropic 喜欢什么用户，讨厌什么用户？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_5.jpeg" alt="天平两端形成对比，一端是安静付费却低频使用的普通会员，另一端是跨区登录、共享账号、批量调用的高消耗用户，背景像客服风控面板与健身房月卡账本叠合，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">从用户画像来看，Anthropic 最喜欢什么用户？稳定付费、低投诉、低风控、正常使用、不把额度打满。比如我交了 20 美金也好，交了 200 美金也好，我就老老实实用，用量还很少。就像去健身房交了会费以后再也不去了，这是 Anthropic 最喜欢的。</p>



<p class="wp-block-paragraph">Anthropic 最讨厌的用户是什么？高消耗、跨区访问、账号关系复杂、支付链路异常，可能共享、分销、转售，或者通过第三方工具批量接入。这些才是它真正想处理的对象。</p>



<p class="wp-block-paragraph">蒸馏用户画像和羊毛党画像确实有重叠，但差异也很大。尤其是官方专门说了，这次不针对 API 用户，而 API 用户恰恰才是最像真正蒸馏用户的群体。所以从这个角度看，这事压根不是冲着反蒸馏去的。</p>



<p class="wp-block-paragraph">这有点像苹果做隐私保护。苹果做隐私保护，表面上是保护隐私，实际上是为了把那些原本可以被挑挑拣拣的广告位重新卖出去。很多事情表面上一回事，实际上做的是另一回事。</p>



<p class="wp-block-paragraph">我的判断就是，Anthropic 这次没有真正想搞反蒸馏，它要打的是羊毛党。就跟前段时间网飞打击共享账号是一个逻辑。</p>



<h2 class="wp-block-heading">封号与 KYC：两件相关但独立的事</h2>



<p class="wp-block-paragraph">再说封号。首先要讲清楚一件事：Anthropic 是经常封号的。去年封了 145 万个号，申诉成功率 3.3%，说明它封号比例很高。</p>



<p class="wp-block-paragraph">但这次 KYC 和封号之间没有必然联系。不是说我想封你号了，先给你做一次 KYC；也不是说做一次 KYC 就能申诉成功。<strong>这两件事是独立的。</strong>想封你，我就直接封；想让你做 KYC，你就去做，二者没什么联动。</p>



<h3 class="wp-block-heading">已知的封号处罚条件</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_6.jpeg" alt="一块风控告示板上钉着多个标签：不支持地区、OAuth、数据中心 IP、高频 agent 调用、新账号新 IP、未满18岁，像侦探案板一样用红线连接到一个被封禁的账号页面，钢笔彩色手绘的统一风格。"/></figure>



<ol class="wp-block-list">
<li><strong>不支持区域的访问和注册</strong>，比如中国用户访问。这个我自己就遇到过。我有一个谷歌邮箱，有一次忘了挂梯子，那个邮箱就直接废了。后来想救回来、想重新充值，根本不行，上来就是“这个邮箱被封禁了”，再也申请不开了。</li>



<li><strong>第三方 OAuth 登录</strong>。比如玩“龙虾”的 OpenClaw、Harness、OpenCode，这些都是 Anthropic 明确禁止的。你现在用了，可能还没被抓到；但以后如果因为这个理由封你，也别去申诉，因为申诉时它也不会退你钱。</li>



<li><strong>数据中心 IP 和非住宅 IP</strong>。因为我们挂梯子访问 Anthropic，梯子的 IP 很多都在云计算机房里。用这种 IP 去访问很容易出事。系统会识别你的 IP 是数据中心 IP 还是住宅 IP。所以现在很多人都在卖什么“固定住宅 IP”。至于这些 IP 怎么来的，大家自己脑补。</li>



<li><strong>异常高频的 agent 调用</strong>，被识别为非人类行为。有些蒸馏行为会踩到这条。</li>



<li><strong>新账号、新 IP、异常行为同时出现</strong>。很多人说“我这一直好好的”，那是因为你是老账号，用了很多年，一直在充钱。这样的账号即便 IP 有些跳动，通常也不太管你。但新账号、新 IP，一上来就可能秒封。经常能看到有人抱怨，刚封完一个账号，重新开一个，充了钱马上又被封，这种情况概率很高。</li>



<li><strong>API 探测和安全测试</strong>。虽然也会快速处罚封号，但碰到这种事的人其实不多，比如你做黑客测试，或者要求它做一些特别危险的事情。</li>



<li><strong>未满 18 岁</strong>。如果系统跟你聊了半天，觉得你实在太幼稚，也有可能被封。</li>
</ol>



<p class="wp-block-paragraph">至于正常使用 Claude、很小心地用 Claude 的普通中国用户，其实还是可以继续用下去的。跟这次行动或者过往的封号条件，关系没那么大。</p>



<h3 class="wp-block-heading">封号的典型特征</h3>



<ul class="wp-block-list">
<li>无预警，多数没有事前警告邮件，直接就封，而且不解释。</li>



<li>封号邮件通常不说明具体原因。</li>



<li>有的时候会自动退款，但账号不恢复，这只是部分案例。</li>



<li>新账号和新 IP 更容易秒封。</li>



<li><strong>KYC 通过不等于免死金牌</strong>，通过 KYC 后仍然可能被封。</li>
</ul>



<h3 class="wp-block-heading">申诉与退款情况</h3>



<p class="wp-block-paragraph">申诉方面，确实有机制，但成功率很低，去年只有 3.3%。没有固定时限，也没有确认回执，大部分用户申诉之后都是石沉大海。你不能指望说我申诉了，24 小时、48 小时一定给我回复，不会的。你发了申诉信，没人理你，是正常的；有人理你，反而比较奇怪。现在也没有证据证明申诉必须先做 KYC，所以 KYC 和申诉也是独立体系。</p>



<p class="wp-block-paragraph">退款方面，如果是政策违反，不退款。特别像我们在中国使用，就属于政策违反。</p>



<p class="wp-block-paragraph">Anthropic 主动终止，也就是你没有违规，但我觉得你有些问题，又不想给你解释，就把你终止了，这种通常会按比例退款。比如你用了多少天，剩下的钱退给你。</p>



<p class="wp-block-paragraph">申诉成功，一般是恢复使用，不会给你退款。自动退款但不恢复账号，也有部分案例。</p>



<p class="wp-block-paragraph">所以我们有时候通过第三方购买 Anthropic 账号时，对方也会写清楚：如果 Anthropic 不给你退，我也不退；如果 Anthropic 退了，我可以帮你退一部分。</p>



<h2 class="wp-block-heading">为什么中国开发者最疼？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_7.jpeg" alt="一位中国开发者坐在深夜书桌前，屏幕分成支付失败、代理切换、风控警告、代码工作流中断五个小画面，桌上有咖啡、闹钟和多张虚拟卡，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">为什么中国开发者最疼？大概有五层原因。</p>



<h3 class="wp-block-heading">1. 地区问题</h3>



<p class="wp-block-paragraph">中国本来就不在 Anthropic 的支持范围之内，本身就是敏感地区。但中国人又特别勤奋，很努力、很认真地用 Anthropic 写各种程序。中国程序员数量多，而且又卷，所以这次封号会对很多中国程序员的个人账号造成影响。</p>



<h3 class="wp-block-heading">2. 支付问题</h3>



<p class="wp-block-paragraph">大量中国开发者使用的是非标准支付路径，不是本地银行卡，因为中国银行卡本来就付不了，所以会用虚拟银行卡、代付、第三方平台充值等方式。这本来就在灰色地带。</p>



<p class="wp-block-paragraph">而且虚拟信用卡代付里，确实有一部分会出现支付失败。以前我们做游戏就遇到过，用户先支付，过一段时间又申请挂失，说银行卡丢了，或者最后交割不过来。中国用户使用这些虚拟信用卡，也确实可能给 Anthropic 造成了一定经济损失，所以它也会倾向于把这些人筛出去。支付链路异常，本身就会触发风控画像。</p>



<h3 class="wp-block-heading">3. 访问问题</h3>



<p class="wp-block-paragraph">代理 IP、时区异常、设备切换、网络环境异常，这些在中国用户身上都很常见。美国人该下班就下班了，我们一天 24 小时干。甚至有人在 X 上分享，半夜定闹钟起来，到 OpenClaw 上按个回车，把 5 小时额度刷完再接着跑。这种行为非常容易出问题。</p>



<p class="wp-block-paragraph">挂梯子的人又经常换线路，没法保证统一 IP。对个人用户来说，这种正常使用场景，在风控系统里就是可疑信号。真正公司里反而不会有这个问题，因为公司会直接在美国 AWS 或谷歌云上租服务器，建立私有通道，IP 不会频繁变化。</p>



<h3 class="wp-block-heading">4. 使用强度问题</h3>



<p class="wp-block-paragraph">中国人的勤奋程度太高了。把 Claude 当生产工具的开发者，调用频率和时长远高于普通用户。Anthropic 给你的套餐，本质上更像一个自助餐，它希望每个人进去礼貌地吃两口就走。哪像我们，进去以后猛吃猛造。</p>



<p class="wp-block-paragraph">高频调用、长时间运行、复杂任务，在风控系统里绝对属于异常画像。越依赖 Claude 的人，反而越容易触发风控。</p>



<h3 class="wp-block-heading">5. 替代成本问题</h3>



<p class="wp-block-paragraph">不是不能换 OpenAI、Gemini 或国内模型，而是换了以后，工作流会断，代码质量会下降，效率会受影响。对于程序员来说，他们还是更愿意用 Claude。</p>



<p class="wp-block-paragraph">很多人劝我用 Claude，但因为我自己目前没有特别重的开发任务，所以我还在用 MiniMax、OpenAI、Gemini 这些模型，基本不影响我。但如果我今天突然有一个很重的开发任务，我也会义无反顾去买 Anthropic 套餐。</p>



<h2 class="wp-block-heading">最讽刺的地方：不是不愿实名，而是你想实名都不让</h2>



<p class="wp-block-paragraph">最讽刺的细节是什么？中国用户对实名制本身一点都不陌生。因为在国内平台，都是要求实名认证的。没有任何一个中国 AI 平台会让你开账号充钱而不实名。</p>



<p class="wp-block-paragraph">所以中国人对这件事太熟了。真正崩溃的点不是“怎么突然要实名了”，而是“我想实名，结果你不让”。不是平台要求我多走一步，而是平台把门装上了，但我的钥匙天然不兼容。<strong>这才是中国程序员最悲催的地方。</strong></p>



<h2 class="wp-block-heading">KYC 的真实效果边界：到底管不管用？</h2>



<p class="wp-block-paragraph">那么，KYC 的真实效果边界在哪？到底管不管用？为什么我说，对真正蒸馏它的人其实没什么用？</p>



<h3 class="wp-block-heading">Persona 自身的安全记录并不让人放心</h3>



<p class="wp-block-paragraph">首先，Persona 的安全记录确实不怎么样。2026 年 2 月刚丢了 2,456 个文件，Discord 因此终止合作。我觉得 Discord 这一步做得挺对。</p>



<p class="wp-block-paragraph">Persona 在 2024 年 9 月还出现过一次键盘记录漏洞，暴露了用户填写 KYC 时的内容。到现在到底修没修好，也不清楚。所以 Persona 本身就不是一个特别安全的 KYC 第三方机构。Anthropic 选它来做第三方，也被很多人嘲笑。</p>



<h3 class="wp-block-heading">KYC 真正拦得住谁，拦不住谁？</h3>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_8.jpeg" alt="一道狭窄安检门拦住普通个人开发者和共享账号用户，而另一侧大型海外实体、API 协议和组织化团队从更宽的企业通道通过，形成鲜明反差，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">再说 KYC 对蒸馏的阻拦效果。它真正能拦住的，是低成本批量乱入的 VPN 用户、共享账号用户和虚拟支付用户。</p>



<p class="wp-block-paragraph">而中国 AI 的这些大厂，不管是“四小龙”还是“六小龙”，你根本拦不住。人家是有组织、有预算的机构，不在乎省你这点钱。挂 API、按 Token 算，用海外实体签协议就行了。所以你想抓住他们，基本不现实。</p>



<p class="wp-block-paragraph">这次真正能打击的是低门槛的灰产。那些 AI 公司本来就在海外有公司、做 VIE 架构，完全可以用海外实体开账号干活，没问题。</p>



<p class="wp-block-paragraph">真正会被卡住的，更多是个人开发者，尤其是第一次开号的人。新账号很容易被拦住，但经过多层代理分散调用的路径，其实你也拦不住。所以即使现在我想继续用 Claude，我依然能用，不用太担心，只是会比原来贵一点。</p>



<h3 class="wp-block-heading">KYC 的真正作用</h3>



<p class="wp-block-paragraph">所以 KYC 真正的作用是什么？</p>



<ol class="wp-block-list">
<li><strong>提高成本</strong>，把低技术门槛的滥用者挡在门外。</li>



<li><strong>表达态度</strong>，在合规和舆论上展示“我已经尽力风控了”。Anthropic 的老大 Amodei 一直很喜欢出来表达态度，比如他说如果美国给中国卖 H200，就相当于给朝鲜供应核弹，立场是非常明确的，而且他在美国各大 AI 公司里算是最极端的一类。</li>



<li><strong>用户筛选</strong>，把高消耗、低透明、高风险的用户尽量处理掉。</li>
</ol>



<p class="wp-block-paragraph">这就是这次 KYC 干的三件事。</p>



<p class="wp-block-paragraph">但灰色市场不会因此被干掉，只是成本会增加。该干嘛还是干嘛。中国人翻了这么多年墙，币圈的人做了这么多年假 KYC，他这一个新手上来，除了表演一下行为艺术，不会有太多其他效果。</p>



<p class="wp-block-paragraph">现有生态里，待认证、待开号、企业账号拆分、代理分销，在 KYC 之下依然可以继续，只是成本稍微上升。KYC 上线以后，代理的风险和利润空间都会上升。黑灰产会升级，但不会被消灭。</p>



<p class="wp-block-paragraph">实际受害者的顺序，大概是：普通人先疼，然后代理涨价，黑灰产升级，真正专业绕路的人、真正蒸馏他模型的人，根本拦不住，也不是针对他们去的。</p>



<h2 class="wp-block-heading">行业背景：美国 AI 大厂正在集体收紧</h2>



<p class="wp-block-paragraph">这件事还有一个行业背景：美国 AI 大厂实际上都在集体收紧。</p>



<p class="wp-block-paragraph">2025 年 9 月，Anthropic 开始对中国方向收紧 API 访问。</p>



<p class="wp-block-paragraph">2025 年 12 月，谷歌对抓取蒸馏和模型抽取问题发表过声明。当时它的 Nano Banana 刚出来，谷歌其他模型比如 Gemini 3、Gemini 3.1 算是能打，但和 OpenAI、Anthropic 比还是有差距。现在我用谷歌模型已经越来越少了，但他们家的生图模型绝对最好用，虽然不一定最漂亮，但最准确。</p>



<p class="wp-block-paragraph">肯定会有很多中国模型公司去抓它的图片回来做升级。现在再看阿里的通义万相、字节的 Seedream 5.0，已经越来越接近 Nano Banana 的水平了。至于怎么追上的，我只能说纯属巧合，其他不知道。</p>



<p class="wp-block-paragraph">到了 2026 年 2 月，Anthropic、OpenAI、谷歌几乎同期公开指责中国实验室蒸馏。三家还联合成立了一个叫“前沿模型论坛”的机构，共享威胁情报，说谁发现被蒸馏了，谁发现了什么问题，大家互相通报。</p>



<p class="wp-block-paragraph">其实这三家本来都是死对头。OpenAI 当初就是为了对抗谷歌建立的；Anthropic 又是 OpenAI 叛将出来创办的。所以这三家能联合起来搞这个论坛，本身就挺不容易。</p>



<p class="wp-block-paragraph">在这三家里，谁面对蒸馏和假账号的经验最丰富？其实是谷歌。它这么多年面对各种刷广告、SEO，经验丰富得一塌糊涂。如果他们三家真的认真协同起来，确实有可能降低蒸馏概率，或者提高蒸馏成本。但你说这三家能有多真心实意地合作，大家自己脑补就好了。</p>



<h3 class="wp-block-heading">当前各家的状态</h3>



<ul class="wp-block-list">
<li><strong>Anthropic</strong>：直接上 KYC 了，虽然是选择性的，只有很少一部分用例会遇到。</li>



<li><strong>谷歌和 OpenAI</strong>：自己并没有做类似的事情，只是发了公告，说了几句话，实际动作没有那么大。</li>



<li><strong>地区开放情况</strong>：谷歌目前其实还在稍微向我们靠拢一点，准备开香港地区使用，但好像香港 IP 挂 Gemini 现在还是有问题。在香港能正常用的，OpenAI 不行，Anthropic 不行，xAI 可以。谷歌宣称要开，但到目前为止似乎还没有真正打开。</li>
</ul>



<h2 class="wp-block-heading">闭源模型怕蒸馏，开源模型不怕</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_9.jpeg" alt="一侧是紧锁金属柜里封存的闭源模型卷轴，另一侧是摊开供人研读的开源权重图纸，几位工程师分别在复制、训练和讨论，形成开放与封闭的对照，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">至于蒸馏，谷歌、OpenAI 和 Anthropic 这些闭源模型公司，肯定都不希望被蒸馏。但开源模型对蒸馏本来就不限制。</p>



<p class="wp-block-paragraph">无论是 LLaMA、千问，还是国内的 MiniMax、GRM，你都可以直接拿权重去用，蒸馏根本不算什么大问题。真正不希望被蒸馏的，就是这些闭源模型公司。</p>



<h2 class="wp-block-heading">总结：这次事件的三层表述</h2>



<p class="wp-block-paragraph">总结一下，这次事件有三层表述。</p>



<ol class="wp-block-list">
<li><strong>官方说法</strong>：这是少数场景下的身份验证，是安全与合规的一部分。</li>



<li><strong>已经确认的事实</strong>：选择性 KYC 已经上线了；第三方 provider 对中国大陆证件支持有限；中国开发者的使用门槛确实被抬高了。</li>



<li><strong>我的判断</strong>：表面上这是反异常调用、反蒸馏，底层更像是一次针对高消耗、低透明、跨区、高风险用户群体的筛选和清洗，本质上是反薅羊毛。</li>
</ol>



<h2 class="wp-block-heading">结论：中国程序员的天塌了吗？</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/blog_10.jpeg" alt="阴天之下的城市天际线并未坍塌，只是通往 Claude 的桥梁被设了更高收费站和更窄车道，程序员仍背着电脑继续前行，神情疲惫却未停步，钢笔彩色手绘的统一风格。"/></figure>



<p class="wp-block-paragraph">最后一句：中国程序员的天塌了吗？还没有塌到不能干活的状态，但原来那条便宜、灵活、默认可用的路，确实不通了。</p>



<p class="wp-block-paragraph">以后还能不能用 Claude？大概率还能用，就是稍微贵一点。代理代价会更高，路径会更窄，不确定性会更强，更多人可能会被封号。</p>



<p class="wp-block-paragraph">普通人会更艰难，代理商会更挣钱，真正有组织能力的人，该蒸馏还是照样蒸馏，一点都拦不住。这才是这件事情最现实、最残酷的真相。</p>



<p class="wp-block-paragraph"><strong>Anthropic 这次不是要堵住那些偷师的人，而是要先赶走那些把会员卡用得太狠的人。</strong>这就是这一次的故事。</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h2 class="wp-block-heading">背景图片</h2>



<figure class="wp-block-image size-large"><img decoding="async" src="https://pictures.lukefan.com/anthropic-claude-selective-kyc-china-user-crackdown/background_1.jpeg" alt=""/></figure>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
